Sicherheitsforscher des niederländischen Unternehmens Sansec haben eine großangelegte Angriffskampagne aufgedeckt, bei der Kriminelle nahezu 100 Magento-Shops mit einem getarnten Kreditkarten-Skimmer infiziert haben. Die Schadsoftware versteckt sich in einem winzigen, unsichtbaren SVG-Grafikelement und zeigt Käufern eine gefälschte Bezahlmaske – ohne dass die meisten Betroffenen etwas bemerken.

Der Angriff läuft nach einem zweistufigen Muster ab, das die Forscher "Double-Tap-Skimmer" nennen. Sobald ein Nutzer auf der infizierten Shop-Seite auf einen Checkout-Button klickt, fängt die Schadsoftware den Klick ab und blendet stattdessen ein täuschend echtes Overlay ein - komplett mit Luhn-Validierung der Kartennummern, Rechnungsadressfeldern und einem Schloss-Symbol. Gibt der Käufer seine Daten ein, werden diese verschlüsselt an einen der sechs Angreifer-Server übermittelt. Danach leitet das Script den Nutzer kommentarlos zur echten Checkout-Seite weiter.

SVG-Element schleust Code ein

Technisch setzt der Angriff auf einen wenig bekannten Trick: Ein SVG-Element der Größe 1x1 Pixel wird in den HTML-Quellcode der Seite injiziert. Dessen onload-Attribut enthält die gesamte Schadsoftware – base64-kodiert und über eine setTimeout-Funktion ausgeführt. Diese Methode umgeht viele gängige Sicherheitsscanner, weil kein externer Script-Verweis entsteht, der typischerweise als verdächtig markiert würde.

Die gestohlenen Daten werden anschließend per XOR-Verschlüsselung mit dem Schlüssel "script" und anschließender Base64-Kodierung verschleiert und an einen Endpunkt namens /fb_metrics.php gesendet - getarnt als Facebook-Analytics-Tracker. Um doppeltes Abschöpfen zu verhindern, setzt das Script nach erfolgreicher Übertragung einen localStorage-Eintrag im Browser des Opfers.

PolyShell-Lücke als Einstieg

Alle sechs Exfiltrations-Domains laufen auf dieselbe IP-Adresse (23.137.249.67) beim US-Hosting-Anbieter IncogNet LLC in den Niederlanden. Fünf der sechs Domains waren der Sicherheitsforschung bislang unbekannt. Als wahrscheinlicher Einstiegsvektor gilt die sogenannte PolyShell-Schwachstelle, die ungepatchte Magento-Installationen nach wie vor betrifft. Die am stärksten betroffene Domain "statistics-for-you.com" hat laut Sansec mindestens 15 Shops als Opfer.

Shop-Betreiber sollten ihren Seitenquelltext gezielt nach SVG-Elementen mit onload-Attributen durchsuchen, die atob()-Aufrufe enthalten. Zusätzlich empfiehlt Sansec, betroffene Kunden darauf hinzuweisen, den localStorage-Schlüssel _mgx_cv in ihrem Browser zu löschen - dessen Vorhandensein deutet darauf hin, dass Zahlungsdaten abgegriffen wurden. Ungepatchte Magento-Installationen sollten umgehend aktualisiert werden, um weitere Infektionen über die PolyShell-Lücke zu verhindern.