Ifølge en ny rapport fra sikkerhedsfirmaet Sansec er 99 butikker, der bruger e-handelsplatformen Magento, blevet inficeret med skadelig kode. Indtrængningen er sandsynligvis sket via sårbarheden "PolyShell", som muliggør uautoriseret kodekørsel. Vel inde i systemet har angriberne implementeret en metode, der er svær at opdage for både handlende og forbrugere.
Falsk kasse lægges over den rigtige
Den skadelige kode injiceres som et 1x1-pixel stort SVG-element (Scalable Vector Graphics) i e-handelens HTML-kode. Når en kunde klikker på knappen for at gå til kassen, fanger scriptet klikket og viser i stedet en falsk kassevisning i fuld skærm.
Denne falske kasse ser legitim ud og validerer endda kreditkortets numre i realtid. Så snart kunden har indtastet sine oplysninger, krypteres informationen og sendes til angribernes servere, hvorefter kunden sendes videre til butikkens rigtige kasse. De fleste forbrugere bemærker aldrig, at et brud har fundet sted.
Sansec forklarer, hvordan angriberne formår at holde sig skjulte:
Denne teknik undgår at oprette eksterne scriptreferencer, som sikkerhedsscannere normalt markerer. Hele den skadelige kode lever indlejret, kodet som et enkelt strengattribut.
SVG-filer: Et voksende sikkerhedsproblem
At SVG-filer bruges i skadelige øjemed er ikke et helt nyt fænomen, men det er en metode, der er steget i popularitet blandt cyberkriminelle. I modsætning til almindelige billedformater som JPEG og PNG, som kun består af pixeldata, er SVG-filer XML-baserede. Det betyder, at de i praksis er kode og dermed kan indeholde indlejret JavaScript, der interagerer med websiden.
Sikkerhedsfirmaet Cloudflare advarede allerede i løbet af sidste år om, at SVG-filer ofte fejlklassificeres som harmløse billedfiler af sikkerhedssystemer. Da de kan håndtere aktive scripts, bruges de i stigende grad til at oprette omdirigeringer eller endda bygge komplette, selvstændige phishing-sider direkte i filen.
Samme år rapporterede platformen VirusTotal om en specifik kampagne, hvor over 500 manipulerede SVG-filer blev brugt til at imitere myndighedsportaler. Flere af disse filer var ved opdagelsestidspunktet helt usynlige for alle etablerede antivirusprogrammer. Problematikken er blevet så påtagelig, at aktører som Microsoft har valgt at stoppe med at understøtte indlejrede SVG-filer i flere versioner af e-mailklienten Outlook.
Sådan opdager du indtrængningen
For at undersøge, om din butik er ramt, bør du eller din tekniske partner gennemgå webstedets kildekode efter skjulte SVG-filer og overvåge netværkstrafikken for ukendte udgående forbindelser. Hvis I mistænker et indbrud, er der specifikke spor at kigge efter i både koden og i besøgendes webbrowserdata. Detaljerede tekniske indikatorer at søge efter findes i Sansecs sikkerhedsrapport for den, der ønsker at dykke ned i detaljerne.
Den vigtigste foranstaltning forbliver dog forebyggende: sørg for, at e-handelsplatformen konstant holdes opdateret, og at alle sikkerhedsopdateringer installeres for at lukke de huller, som angriberne udnytter.