SchwachstellenCyberkriminalitätMalware

Magento-Shops im Visier: Kreditkarten-Stealer versteckt sich in Pixel-SVG

Magento-Shops im Visier: Kreditkarten-Stealer versteckt sich in Pixel-SVG
Zusammenfassung

Eine massive Angriffskampagne bedroht derzeit fast hundert Online-Shops auf der Magento-Plattform durch eine besonders raffinierte Methode: Cyberkriminelle verstecken Kreditkarten-Stealer in pixelkleinen SVG-Bildern, um ihre schädliche Software vor Sicherheitsscannern zu verbergen. Die Attacke nutzt eine Sicherheitslücke namens PolyShell aus, die bereits im März öffentlich bekannt wurde und alle Magento Open Source- sowie Adobe Commerce-Versionen betrifft. Sicherheitsexperten von Sansec entdeckten, dass Opfer beim Checkout mit gefälschten Bezahlseiten konfrontiert werden, welche täuschend echt aussehen und Kreditkartendaten abfangen. Die gestohlenen Daten werden verschlüsselt an Server in den Niederlanden übertragen. Auch für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, insbesondere für kleine und mittlere Online-Händler, die Magento nutzen. Deutsche Verbraucher könnten beim Einkauf auf compromittierten Shops Opfer von Kreditkartenmissbrauch werden. Besonders kritisch ist, dass Adobe bislang keine Sicherheitsaktualisierung für produktive Versionen bereitgestellt hat, was die Anfälligkeit von Tausenden Shops weltweit erhöht und auch deutsche E-Commerce-Unternehmen in Gefahr bringt.

Die Sicherheitsforschung von Sansec offenbart eine beeindruckend raffinierte Angriffsmethode. Die Malware wird als winzige SVG-Grafik in den HTML-Code der betroffenen Websites injiziert. Ein sogenannter “onload”-Handler enthält den gesamten Skimmer-Code, der in Base64 verschlüsselt ist und mittels JavaScript-Funktion atob() dekodiert wird. Anschließend wird er über setTimeout() ausgeführt. Diese Technik ist bewusst konzipiert, um Sicherheits-Scanner zu umgehen – denn es werden keine externen Skripte referenziert, die typischerweise Alarme auslösen würden. Die komplette Malware lebt inline als einzelne verschlüsselte Zeichenkette.

Der Ablauf für die Opfer ist perfide: Beim Klick auf den Checkout-Button wird ein gefälschtes “Sicherheitskasse”-Overlay angezeigt, das optisch kaum vom Original zu unterscheiden ist. Ahnungslose Käufer geben ihre Kartendaten ein, die in Echtzeit mittels Luhn-Verifikation überprüft werden – einem Standard-Verfahren zur Validierung von Kartennummern. Dann werden die Daten in XOR-verschlüsseltem und Base64-obfuskiertem JSON-Format an die Angreifer weitergeleitet.

Die Sansec-Forscher identifizierten sechs Exfiltrations-Domains, alle gehostet bei IncogNet LLC (AS40663) in den Niederlanden. Jede Domain sammelt Daten von 10 bis 15 bestätigten Opfern. Das deutet auf eine gut organisierte Operation hin.

Die Grundlage für diese Angriffe bildet die PolyShell-Schwachstelle (CVE aus März 2024), die unauthentifizierte Code-Ausführung ermöglicht. Sansec warnte bereits, dass über die Hälfte aller verwundbaren Shops von PolyShell-Attacken betroffen waren – teilweise mit WebRTC-basierten Skimmern für verdeckte Datenexfiltration.

Adobes Reaktion bleibt problematisch: Ein Sicherheits-Patch existiert bislang nur in der Pre-Release-Version 2.4.9-alpha3+. Das Unternehmen hat auf wiederholte Anfragen zu diesem Thema nicht geantwortet. Dies lässt viele Shop-Betreiber in einer Grauzone zurück.

Experten empfehlen Magento-Administratoren, alle verfügbaren Mitigations-Maßnahmen sofort zu implementieren und wenn möglich zur neuesten Beta-Version zu aktualisieren. Für deutsche Unternehmen, die Magento nutzen, ist sofortige Handlung erforderlich – Zeit ist ein kritischer Faktor.

Ähnliche Artikel