Verheerende Angriffswelle: Hacker kapern Onlineshops und schleusen Schadcode ein
Cyberkriminelle kapern offenbar derzeit reihenweise Onlineshops auf Basis des von Adobe übernommenen Shopsystems Magento und betten anschließend ein verstecktes SVG-Element ein, mit dem sie Kreditkartendaten von Besuchern abgreifen. Sicherheitsforscher von Sansec gehen davon aus, dass die betroffenen Shops durch Ausnutzung einer Sicherheitslücke kompromittiert wurden, die unter dem Namen Polyshell bekannt ist.
Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) ist das eingeschleuste SVG-Element nur einen Pixel groß, so dass es bei regulärer Nutzung unbemerkt bleibt. Es enthält im Onload-Handler einen Base64-kodierten Web-Skimmer(öffnet im neuen Fenster) , der durch eine setTimeout-Funktion nur eine Millisekunde nach dem Laden des Elements ausgeführt wird.
Dieser Aufbau hat auch einen Grund: "Die Technik vermeidet die Erstellung externer Skriptverweise, die von Sicherheitsscannern in der Regel als verdächtig markiert werden. Die gesamte Malware ist in einer Codezeile als einzelnes String-Attribut kodiert" , schreiben die Forscher. Die Angreifer versuchen damit also gezielt einer möglichen Erkennung zu entgehen.
Gefälschter Check-out sammelt Daten
Aufgabe des Skimmers ist es, den Check-out-Prozess zu kapern. Sobald ein Shopbesucher seinen Einkauf abschließen will, blendet die Malware ein großes Overlay mit einem Fake-Check-out ein. Dort werden, wie es der Besucher an dieser Stelle auch erwarten würde, Zahlungsdaten abgefragt. Diese landen nach der Eingabe jedoch nicht beim Shopbetreiber, sondern werden an ein in den Niederlanden gehostetes System des Angreifers übertragen.
Sansec hat nach eigenen Angaben bisher 99 Shops identifiziert, bei denen der Skimmer eingeschleust wurde. Die Polyshell-Lücke ist allerdings ein größeres Problem, das noch weitaus mehr Onlineshops betrifft. Die Sicherheitslücke ist schon seit Mitte März bekannt und lässt Angreifer über die Rest-API von Magento oder Adobe Commerce ausführbare Dateien einschleusen.
Die Sansec-Forscher haben schon mehrere Blogbeiträge veröffentlicht(öffnet im neuen Fenster) , in denen sie vor Polyshell warnen. Den Angaben zufolge sollen damit schon fast 80 Prozent aller von Sansec beobachteten Magento-Stores attackiert worden sein. Teilweise registrierten die Forscher mehrere Hundert Angriffe innerhalb von nur einer Stunde(öffnet im neuen Fenster) . Auch einige große Unternehmen mit einem Wert von mehreren Milliarden US-Dollar sollen betroffen sein(öffnet im neuen Fenster) .
- Anzeige Hier geht es zur VISA Karte mit bis zu 40 Euro Startgutschrift bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.