Ifølge en ny rapport fra sikkerhetsselskapet Sansec har 99 butikker som bruker e-handelsplattformen Magento blitt infisert av skadelig kode. Inntrengningen har sannsynligvis skjedd via sårbarheten "PolyShell", som muliggjør uautorisert kodekjøring. Vel inne i systemet har angriperne implementert en metode som er vanskelig å oppdage for både selgere og forbrukere.
Falsk kasse legges over den ekte
Den skadelige koden injiseres som et 1x1-piksel stort SVG-element (Scalable Vector Graphics) i e-handelens HTML-kode. Når en kunde klikker på knappen for å gå til kassen, fanger skriptet opp klikket og viser i stedet en falsk kassevisning i fullskjerm.
Denne falske kassen ser legitim ut og validerer til og med kredittkortnummer i sanntid. Så snart kunden har skrevet inn sine opplysninger, krypteres informasjonen og sendes til angripernes servere, hvorpå kunden sendes videre til butikkens ekte kasse. De fleste forbrukere merker aldri at et avbrudd har skjedd.
Sansec forklarer hvordan angriperne lykkes med å holde seg skjulte:
Denne teknikken unngår å opprette eksterne skriptreferanser som sikkerhetsskannere normalt flagger. Hele den skadelige koden lever innebygd, kodet som et enkelt strengattributt.
SVG-filer: Et økende sikkerhetsproblem
At SVG-filer brukes i skadelige hensikter er ikke et helt nytt fenomen, men det er en metode som har økt i popularitet blant cyberkriminelle. I motsetning til vanlige bildefortmat som JPEG og PNG, som kun består av pikseldata, er SVG-filer XML-baserte. Det betyr at de i praksis er kode og dermed kan inneholde innebygd JavaScript som interagerer med nettsiden.
Sikkerhetsselskapet Cloudflare advarte allerede i fjor om at SVG-filer ofte feilklassifiseres som ufarlige bildefiler av sikkerhetssystemer. Fordi de kan håndtere aktive skript, brukes de stadig oftere til å opprette omdirigeringer eller til og med bygge inn komplette, frittstående phishing-sider direkte i filen.
Samme år rapporterte plattformen VirusTotal om en spesifikk kampanje der over 500 riggede SVG-filer ble brukt til å imitere myndighetsportaler. Flere av disse filene var ved oppdagelsestidspunktet helt usynlige for alle etablerte antivirusprogrammer. Problematikken har blitt såpass påtagelig at aktører som Microsoft har valgt å slutte å støtte innebygde SVG-filer i flere versjoner av e-postklienten Outlook.
Slik oppdager du inntrengningen
For å undersøke om din butikk er rammet bør du eller din tekniske partner gjennomgå nettstedets kildekode etter skjulte SVG-filer og overvåke nettverkstrafikken for ukjente utgående tilkoblinger. Mistanker dere et inntrengning finnes det spesifikke spor å lete etter i både koden og i besøkendes nettleserdata. Detaljerte tekniske indikatorer å søke etter finnes tilgjengelig i Sansecs sikkerhetsrapport for den som ønsker å dykke ned i detaljene.
Den viktigste tiltaket forblir likevel forebyggende: sørg for at e-handelsplattformen stadig holdes oppdatert og at alle sikkerhetsoppdateringer installeres for å lukke de hullene som angriperne utnytter.
