電商平臺Magento遭鎖定，駭客利用SVG圖檔挾帶交易資料側錄工具

4月7日Sansec發現，有99個Magento電商網站出現Magecart大規模感染的跡象，駭客使用一種雙連擊（Double-tap）的交易資料側錄工具，他們將竊取信用卡資料的竊資軟體埋藏在SVG圖檔，並藉此將竊得的交易資料傳送到6個網域。金融卡側錄惡意程式（skimmer）會向消費者顯示幾可亂真的安全結帳畫面，其中包含卡片資料驗證與帳單資料的欄位，在擷取付款資料後，此側錄程式將消費者導向真正的結帳網頁，因此一般使用者難以察覺有異。

駭客在會在電商網站的HTML程式碼注入僅有1×1像素的SVG元件，然而此SVG檔案內含完整的金融卡側錄程式有效酬載，並經過Base64演算法處理。Sansec進一步說明，駭客這麼做的目的，是因為有些資安掃描工具會對外部參照的指令碼提出警告，而這次的惡意酬載完全埋藏在SVG圖檔，並採用單一字串進行編碼處理。

值得留意的是，PolyShell利用活動不時有事故傳出。3月30日Sansec發現，有人在1小時裡感染471個電商網站，他們利用漏洞上傳PHP打造的Webshell，以此於電商網站的多個資料夾部署accesson.php後門程式，然後將JavaScript載入工具注入內容管理平臺（CMS）。