Сегодня 11 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → банковские карты

Злоумышленники спрятали вирус для кражи данных кредиток в SVG-изображении размером 1 пиксель

Почти 100 интернет-магазинов, работающих на платформе электронной коммерции Magento, стали целью кампании по краже данных кредитных карт. Злоумышленники прячут вредоносный код в SVG-изображении размером 1 × 1 пиксель и запускают его при переходе жертвы к оплате заказа. Исследователи Sansec связывают атаку с уязвимостью PolyShell, обнаруженной в середине марта и затронувшей все установки Magento Open Source и Adobe Commerce стабильных версий ветки 2.

 Источник изображения: Wesley Tingey / unsplash.com

Источник изображения: Wesley Tingey / unsplash.com

При переходе к оплате на скомпрометированном сайте вредоносный код перехватывает нажатие кнопки оформления заказа и выводит правдоподобную поддельную форму Secure Checkout с полями для реквизитов карты и данных плательщика. Сведения, введённые в эту форму, проверяются, после чего отправляются злоумышленнику в формате JSON-данных, зашифрованных с помощью XOR и дополнительно замаскированных кодированием base64.

Злоумышленники внедряют вредоносный код непосредственно в HTML-код сайта в виде SVG-элемента размером 1 × 1 пиксель с обработчиком события onload. «Обработчик onload содержит всю вредоносную нагрузку: она закодирована в base64 внутри вызова atob() и запускается через setTimeout», — пояснила Sansec. Такой способ позволяет не подключать внешние сценарии, на которые защитные сканеры обычно реагируют как на подозрительные: весь вредоносный код остаётся встроенным в страницу и помещается в значении одного строкового атрибута.

 Источник изображения: sansec.io

Источник изображения: sansec.io

Sansec полагает, что злоумышленники получили доступ, эксплуатируя уязвимость PolyShell. Она позволяет выполнять код без прохождения проверки подлинности и получать контроль над учётными записями. Ранее компания предупреждала, что атакам с использованием PolyShell подверглись более половины всех уязвимых магазинов. В части случаев злоумышленники внедряли перехватчики данных платёжных карт и использовали WebRTC для скрытой передачи похищенных сведений.

Sansec выявила шесть доменов, на которые выводятся похищенные данные. Все они размещены у IncogNet LLC (AS40663) в Нидерландах, причём на каждый из них поступает информация от 10 до 15 подтверждённых жертв. Для защиты от взлома компания рекомендует проверить файлы сайта на наличие скрытых SVG-элементов с атрибутом onload, использующим atob(), убедиться, что в локальном хранилище браузера localStorage отсутствует ключ _mgx_cv, отслеживать и блокировать обращения к fb_metrics.php и незнакомым доменам, маскирующимся под аналитические службы, а также полностью блокировать трафик к IP-адресу 23.137.249.67 и связанным с ним доменам.

Adobe к моменту публикации не выпустила обновление безопасности для устранения PolyShell в рабочих версиях Magento. Исправление доступно только в предварительной версии 2.4.9-alpha3+. Владельцам и администраторам сайтов Sansec рекомендует применить все доступные меры защиты и по возможности перейти на последний бета-выпуск Magento.

«МТС Банк» встроил банковскую карту в SIM, и теперь бесконтактная оплата работает даже в кнопочном телефоне

На юбилейном форуме инновационных финансовых технологий «Финополис 2025» представитель ПАО «МТС-Банк» показал прототип SIM-карты со встроенной банковской картой «МТС Деньги». Эта технология не требует подключения к интернету и позволяет одним касанием совершать платежи как с современного смартфона, так и с кнопочного «бабушкофона».

 Источник изображения: «МТС-Банк»

Источник изображения: «МТС-Банк»

Представленная платёжная технология реализована в виде обычной SIM-карты. Разработчики утверждают, что безопасность обеспечивается благодаря физическому разделению непосредственно SIM-чипа и платёжного элемента для банковских операций. В корпус банковской SIM-карты встроены Bluetooth и NFC-антенны, что позволяет производить оплату даже с устройства, в котором отсутствует NFC-модуль. Владелец такой SIM-карты сможет активировать сразу две банковские карты.

«Технологии “МТС Финтех” превращают привычную нам сим-карту в платёжный инструмент, для которого не нужен пластиковый носитель, стикер на телефон или отдельное мобильное приложение. Это уникальный симбиоз, который стирает границы между телекомом и банкингом, объединяя два флагманских продукта экосистемы — сотовую связь и банковскую карту. Более того, новая технология даёт равные возможности владельцам суперсовременных смартфонов и простых кнопочных телефонов. Просто вставляете сим-карту и безопасно оплачиваете товары и услуги, приложив устройство к терминалу», — рассказал председатель правления «МТС Банка» Эдуард Иссопов.

В ближайшее время «МТС-Банк» планирует пилотный выпуск нового типа SIM-карт. Все привычные для пользователя мобильного банка операции, такие как подключение, выбор или отключение карты, платежи и история операций, будут доступны в стандартном мобильном приложении банка.


window-new
Soft
Hard
Тренды 🔥
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 2 ч.
После реорганизации из OpenAI ушёл глава отдела систем безопасности 4 ч.
Исследование: четверть постов в соцсетях длиной более 250 слов полностью сгенерированы ИИ 5 ч.
Microsoft пришлось объяснять, что уволенных из Xbox сотрудников не заменят гастарбайтерами 5 ч.
ИИ-подразделение Ant Group выпустило ИИ-модель для генерации интерактивных миров в реальном времени 5 ч.
Google опубликовала Magic Pointer — неанонсированное ИИ-приложение для будущих Googlebook 6 ч.
Meta приостановила генерацию изображений на основе публикаций в Instagram 7 ч.
Аудитория Steam в полтора раза превысила охват PlayStation — Sony сама во всём виновата 10 ч.
ByteDance представила Seedream 5.0 Pro — флагманскую ИИ-модель для генерации и редактирования изображений 12 ч.
Власть в OpenAI сосредотачивается в руках президента Грега Брокмана на этапе подготовки к IPO 12 ч.
Google научила квантовый процессор подстраивать себя во время работы — это путь к более сложным вычислениям 4 ч.
Siemens и FuelCell Energy совместно запитают ЦОД от топливных ячеек 5 ч.
SK hynix привлекла $26,5 млрд в ходе рекордного IPO в США 6 ч.
Samsung представила бренд OBLYX — под ним будут выпускаться OLED-панели для игровых ноутбуков 7 ч.
Учёные улучшили качество струйной печати электронных схем — на идею натолкнула газировка 9 ч.
Американские власти ополчились на подставные фирмы, через которые DJI работает в США 9 ч.
OpenAI ответила на иск Apple о краже коммерческой тайны 12 ч.
SK hynix готова предлагать клиентам память напрокат и значительно увеличить инвестиции в США 12 ч.
Apple обвинила бывших сотрудников в передаче коммерческой тайны OpenAI 13 ч.
Глава SK hynix заявил, что дефицит памяти достигнет пика в 2027 году, но сохранится даже в следующем десятилетии 13 ч.