Der eigentliche Trick der jüngsten Kampagne liegt in der Tarnung des Schadcodes. Die Forscher von Sansec fanden die Malware als 1x1-Pixel großes SVG-Element mit einem „onload"-Handler, das in den HTML-Code der angegriffenen Website eingebettet wird.
„Der onload-Handler enthält die gesamte Skimmer-Nutzlast, base64-kodiert innerhalb eines atob()-Aufrufs und über setTimeout ausgeführt", erläutert Sansec. Auf diese Weise würden keine externen Skriptverweise erzeugt, die von Sicherheitsscannern üblicherweise erkannt werden. Die komplette Schadsoftware liege inline vor, kodiert als einzelne Zeichenkette in einem Attribut.
Klickt ein ahnungsloser Käufer in einem betroffenen Shop auf den Checkout, fängt ein bösartiges Skript den Klick ab und blendet eine gefälschte Maske mit der Aufschrift „Secure Checkout" ein, die Felder für Kartendaten und ein Rechnungsformular enthält. Die dort eingegebenen Zahlungsdaten werden in Echtzeit per Luhn-Prüfung validiert und anschließend in einem XOR-verschlüsselten, base64-verschleierten JSON-Format an die Angreifer ausgeleitet.
Sansec identifizierte sechs Domains zur Datenausleitung, die allesamt bei IncogNet LLC (AS40663) in den Niederlanden gehostet sind. Jede dieser Domains erhielt Daten von zehn bis 15 bestätigten Opfern.
Beim Stand der Veröffentlichung hat Adobe noch kein Sicherheitsupdate herausgegeben, um die PolyShell-Lücke in den Produktivversionen von Magento zu schließen. Lediglich für die Vorabversion 2.4.9-alpha3+ stellte der Hersteller einen Fix bereit. Auf wiederholte Bitten um eine Stellungnahme reagierte Adobe nicht.
Betreibern und Administratoren von Webshops rät Sansec, alle verfügbaren Gegenmaßnahmen umzusetzen und Magento nach Möglichkeit auf die aktuelle Beta-Version zu aktualisieren.