Kategoria: Security News

Wprowadzenie do problemu / definicja

W środowisku e-commerce ponownie rośnie aktywność kampanii web skimming, których celem jest przechwytywanie danych kart płatniczych bezpośrednio podczas finalizacji zakupów. Najnowszy wariant ataku wymierzonego w sklepy oparte na Magento i Adobe Commerce wykorzystuje nietypową technikę ukrycia złośliwego kodu w pozornie niegroźnym obrazie SVG o rozmiarze zaledwie 1×1 piksela.

To podejście utrudnia wykrycie zagrożenia, ponieważ złośliwy ładunek nie musi być ładowany jako osobny plik JavaScript z zewnętrznej domeny. Zamiast tego jest osadzany bezpośrednio w kodzie strony, co zmniejsza liczbę klasycznych wskaźników kompromitacji.

W skrócie

Badacze bezpieczeństwa opisali kampanię, w której skimmer płatniczy jest ukrywany inline w atrybucie onload elementu SVG. Po wejściu użytkownika w końcowy etap zakupu skrypt uruchamia fałszywą nakładkę płatności, która imituje legalny formularz checkout i zbiera dane karty oraz informacje rozliczeniowe.

• złośliwy kod ukryto w 1-pikselowym elemencie SVG,
• ładunek jest dekodowany po stronie przeglądarki,
• atak przechwytuje dane karty, datę ważności, CVV i dane klienta,
• dane są walidowane i wyprowadzane do infrastruktury atakującego,
• kampania jest łączona z wcześniejszym wykorzystywaniem luki PolyShell.

Kontekst / historia

Ataki MageCart i web skimming od lat należą do najgroźniejszych zagrożeń dla sklepów internetowych. Ich skuteczność wynika z faktu, że cyberprzestępcy nie muszą przełamywać zabezpieczeń operatorów kart płatniczych. Wystarczy, że zmodyfikują kod sklepu, szablon checkoutu lub mechanizm renderowania strony tak, aby przechwycić dane wpisywane przez klienta.

W opisywanym przypadku kampania została powiązana z falą aktywnego wykorzystywania podatności określanej jako PolyShell, ujawnionej w marcu 2026 roku. Oznacza to, że zagrożenie nie ogranicza się wyłącznie do prostego osadzenia skryptu w HTML, ale może być efektem wcześniejszego uzyskania dostępu do środowiska sklepu i utrzymania tam trwałej obecności.

Analiza techniczna

Kluczowym elementem ataku jest osadzenie złośliwego ładunku w niewielkim obiekcie SVG, który na pierwszy rzut oka wygląda jak neutralny element interfejsu lub techniczny zasób strony. Faktyczna funkcja tego obiektu nie polega jednak na renderowaniu grafiki, lecz na uruchomieniu kodu JavaScript przez atrybut onload.

Ładunek jest zapisany w postaci zakodowanego ciągu, zwykle Base64, a następnie dekodowany funkcją atob() i wykonywany z opóźnieniem przy użyciu mechanizmów takich jak setTimeout(). Taki model działania daje napastnikom kilka istotnych korzyści:

• eliminuje potrzebę pobierania zewnętrznego skryptu,
• utrudnia analizę ruchu sieciowego,
• zmniejsza widoczność podejrzanych odwołań do obcych domen,
• pozwala ukryć pełną logikę malware w pojedynczym fragmencie HTML.

Po uruchomieniu skrypt przechwytuje interakcję użytkownika z procesem płatności i wyświetla fałszywą warstwę udającą bezpieczny formularz transakcyjny. Ofiara wpisuje dane karty płatniczej, nie zdając sobie sprawy, że trafiają one bezpośrednio do przestępców. Formularz może dodatkowo wykorzystywać walidację numeru karty, na przykład z użyciem algorytmu Luhna, aby zwiększyć wiarygodność interfejsu i poprawić jakość wykradanych rekordów.

Wyprowadzanie danych odbywa się zazwyczaj w postaci JSON, który przed transmisją jest zaciemniany przez kodowanie Base64 i prosty mechanizm XOR. Nie jest to silne szyfrowanie, ale wystarcza, aby utrudnić szybkie rozpoznanie zawartości przez podstawowe systemy monitoringu. Dodatkowe artefakty mogą obejmować wpisy w localStorage oraz żądania do zasobów przypominających legalne usługi telemetryczne lub analityczne.

Konsekwencje / ryzyko

Dla operatorów sklepów skutki takiej kompromitacji są wielowymiarowe. Najpoważniejszym następstwem jest oczywiście kradzież danych kart płatniczych klientów, co może prowadzić do oszustw finansowych, wzrostu liczby chargebacków, kosztownych audytów bezpieczeństwa i pogorszenia relacji z partnerami płatniczymi.

Równie istotne są konsekwencje reputacyjne. Klienci, którzy padną ofiarą incydentu, często tracą zaufanie do marki, a odbudowa wiarygodności po ujawnieniu naruszenia może być długotrwała i kosztowna. Jeśli dodatkowo doszło do szerszego przejęcia środowiska, incydent może oznaczać obecność backdoorów, nieautoryzowanych kont administracyjnych oraz dalsze ryzyko kradzieży danych osobowych.

Szczególnie niebezpieczne jest to, że technika ukrycia skimmera w SVG obniża skuteczność tradycyjnych metod detekcji skoncentrowanych na zewnętrznych skryptach. Bez monitorowania zmian w kodzie front-endu i analizy rzeczywistego zachowania checkoutu taki malware może pozostać aktywny przez długi czas.

Rekomendacje

Administratorzy sklepów Magento i Adobe Commerce powinni potraktować ten scenariusz jako incydent wysokiego priorytetu. Niezbędne są zarówno działania doraźne, jak i długofalowe mechanizmy ograniczające ryzyko ponownej kompromitacji.

• przeprowadzić audyt kodu HTML, szablonów i komponentów checkout pod kątem ukrytych tagów SVG z atrybutem onload,
• wyszukiwać wzorce zawierające atob(), setTimeout() oraz nietypowo długie ciągi Base64,
• sprawdzić pliki motywu, bloki CMS, własne moduły i miejsca umożliwiające dynamiczną injekcję kodu,
• przeanalizować logi aplikacyjne, przeglądarkowe oraz zawartość localStorage i sessionStorage,
• monitorować połączenia do nieznanych domen oraz endpointów podszywających się pod analitykę,
• wdrożyć wszystkie dostępne poprawki i hotfixy bezpieczeństwa dla Magento lub Adobe Commerce,
• wymusić rotację haseł administracyjnych, kluczy API i innych sekretów,
• uruchomić kontrolę integralności plików oraz przegląd zadań cron, kont administracyjnych i niestandardowych modułów,
• wdrożyć Content Security Policy ograniczające wykonywanie skryptów inline i połączenia do nieautoryzowanych domen,
• stosować MFA, segmentację dostępu administracyjnego i regularne skanowanie checkoutu z perspektywy przeglądarki użytkownika.

W razie potwierdzenia naruszenia organizacja powinna uruchomić formalny proces reagowania na incydent, zabezpieczyć materiał dowodowy, ocenić zakres kompromitacji i przeanalizować obowiązki notyfikacyjne wynikające z regulacji dotyczących ochrony danych oraz wymagań branży płatniczej.

Podsumowanie

Nowa kampania wymierzona w Magento pokazuje, że web skimming staje się coraz bardziej ukryty i trudniejszy do wykrycia. Wykorzystanie 1-pikselowego obrazu SVG jako nośnika dla zakodowanego skryptu pozwala omijać część klasycznych mechanizmów bezpieczeństwa i skutecznie przechwytywać dane płatnicze klientów podczas finalizacji zakupów.

Dla operatorów sklepów oznacza to konieczność połączenia szybkiego patch managementu z ciągłym monitoringiem front-endu, kontrolą integralności plików i analizą zachowania formularzy checkout. Ochrona samej warstwy serwerowej nie wystarcza, jeśli atakujący mogą manipulować tym, co użytkownik widzi i wypełnia w przeglądarce.

Źródła

1. https://www.bleepingcomputer.com/news/security/hackers-use-pixel-large-svg-trick-to-hide-credit-card-stealer/
2. https://helpx.adobe.com/security/products/magento/apsb26-05.html
3. https://experienceleague.adobe.com/en/docs/commerce-operations/release/versions

Wprowadzenie do problemu / definicja

Na użytkowników macOS wymierzono nową kampanię phishingowo-malware’ową, w której przestępcy wykorzystują technikę ClickFix do nakłonienia ofiary do uruchomienia złośliwego kodu. Charakterystycznym elementem tej odsłony ataku jest nadużycie wbudowanej aplikacji Script Editor zamiast częściej spotykanego Terminala. Taki zabieg zwiększa wiarygodność fałszywych instrukcji i może osłabić czujność użytkownika, który nie kojarzy edytora skryptów z bezpośrednim ryzykiem infekcji.

Celem kampanii jest dostarczenie malware Atomic Stealer, znanego także jako AMOS. To wyspecjalizowane złośliwe oprogramowanie zaprojektowane do kradzieży danych z systemów Apple, w tym haseł, cookies, informacji zapisanych w przeglądarkach oraz danych z portfeli kryptowalutowych.

W skrócie

• Atak wykorzystuje fałszywe strony podszywające się pod poradniki Apple dotyczące odzyskiwania miejsca na dysku.
• Ofiara jest przekierowywana do Script Editor przy użyciu schematu applescript://.
• Uruchomiony skrypt pobiera i wykonuje ładunek prowadzący do instalacji Atomic Stealer.
• Malware kradnie dane z Keychain, przeglądarek, zapisanych haseł, kart płatniczych i portfeli kryptowalutowych.
• Kampania omija część intuicyjnych sygnałów ostrzegawczych związanych z ręcznym uruchamianiem komend w Terminalu.

Kontekst / historia

ClickFix to technika socjotechniczna, w której ofiara otrzymuje instrukcję rzekomej „naprawy” błędu, aktualizacji lub problemu systemowego. W praktyce użytkownik sam wykonuje działania prowadzące do kompromitacji urządzenia. W poprzednich kampaniach opartych na tym modelu dominowały scenariusze wymagające skopiowania i uruchomienia polecenia w Terminalu, co dla bardziej świadomych odbiorców bywało sygnałem ostrzegawczym.

Obecna kampania pokazuje ewolucję tego schematu. Przestępcy porzucili oczywisty kontekst administracyjny Terminala na rzecz natywnej aplikacji macOS, która z perspektywy wielu użytkowników wygląda mniej groźnie. To przykład szerszego trendu polegającego na nadużywaniu legalnych i zaufanych komponentów systemowych do realizacji złośliwych działań.

Sam Atomic Stealer nie jest nowym zagrożeniem. Od dłuższego czasu pozostaje aktywnym narzędziem cyberprzestępczym i występuje w kampaniach wykorzystujących socjotechnikę, fałszywe aktualizacje oraz spreparowane materiały pomocnicze. Jego trwała obecność w krajobrazie zagrożeń dla macOS potwierdza, że platforma Apple nie jest odporna na zaawansowane operacje kradzieży danych.

Analiza techniczna

Mechanizm infekcji rozpoczyna się od wejścia użytkownika na stronę stylizowaną na pomoc techniczną Apple. Fałszywy serwis prezentuje instrukcje związane z oczyszczaniem przestrzeni dyskowej i zawiera elementy graficzne oraz komunikaty zaprojektowane tak, aby przypominały legalne wsparcie producenta.

Kluczowy etap polega na wykorzystaniu schematu applescript://, który otwiera Script Editor z gotowym skryptem. Użytkownik widzi pozornie nieszkodliwe narzędzie pomocnicze, ale po jego uruchomieniu wykonywany jest łańcuch poleceń prowadzący do pobrania i uruchomienia złośliwego oprogramowania.

Zaobserwowany mechanizm obejmuje obfuskowane polecenia typu curl | zsh, czyli pobranie zdalnej treści i natychmiastowe wykonanie jej w powłoce. Następnie dochodzi do dekodowania danych zakodowanych w Base64, rozpakowania ładunku, pobrania binarium do katalogu tymczasowego, usunięcia atrybutów bezpieczeństwa przy użyciu xattr -c, nadania praw wykonywania oraz startu finalnego pliku.

Ostateczny ładunek stanowi binarium Mach-O identyfikowane jako Atomic Stealer. Malware koncentruje się na kradzieży danych wysokiej wartości, w tym wpisów z Keychain, danych autouzupełniania, zapisanych haseł, plików cookies, informacji o kartach płatniczych, danych systemowych i artefaktów związanych z portfelami kryptowalutowymi w przeglądarkach. W praktyce może to oznaczać szybkie przejęcie dostępu do usług osobistych i firmowych bez konieczności stosowania bardziej złożonych technik post-exploitation.

Istotnym aspektem kampanii jest również zmiana percepcji ryzyka. Dla wielu użytkowników Terminal kojarzy się z działaniami administracyjnymi i potencjalnym zagrożeniem, natomiast Script Editor nie budzi podobnych skojarzeń. Atakujący wykorzystują więc psychologię zaufania do narzędzi systemowych, aby zwiększyć skuteczność operacji.

Konsekwencje / ryzyko

Udana infekcja może prowadzić do poważnych skutków zarówno dla użytkowników indywidualnych, jak i organizacji korzystających z macOS. Kradzież haseł, tokenów sesyjnych i danych z Keychain może umożliwić przejęcie skrzynek pocztowych, kont w usługach SaaS, narzędzi deweloperskich, komunikatorów oraz paneli administracyjnych.

Duże ryzyko dotyczy także sfery finansowej. Dane z kart płatniczych, cookies sesyjne i informacje z rozszerzeń portfeli kryptowalutowych mogą zostać wykorzystane do bezpośrednich strat finansowych, obchodzenia mechanizmów logowania i dalszej eskalacji dostępu.

W środowisku firmowym zagrożenie jest jeszcze szersze. Kompromitacja pojedynczego hosta może stać się punktem wyjścia do ataków na repozytoria kodu, systemy wsparcia, platformy chmurowe i konta uprzywilejowane. Jeśli złośliwe oprogramowanie lub operator kampanii uzyskają możliwość utrzymania dostępu, incydent może szybko wyjść poza etap zwykłej kradzieży danych i przerodzić się w głębszą infiltrację infrastruktury.

Rekomendacje

Organizacje powinny potraktować nieoczekiwane uruchomienia Script Editor jako zdarzenia podwyższonego ryzyka, zwłaszcza jeśli następują po interakcji z przeglądarką lub niestandardowym schematem URI. Ochrona przed takimi kampaniami wymaga połączenia monitoringu, kontroli wykonania oraz edukacji użytkowników.

• Monitorować uruchomienia Script Editor, osascript, zsh, sh i procesów odpowiedzialnych za pobieranie treści z sieci.
• Wykrywać sekwencje obejmujące użycie curl, dekodowanie Base64, operacje w katalogach tymczasowych i modyfikację atrybutów przez xattr.
• Ograniczać możliwość uruchamiania nieautoryzowanych skryptów i egzekwować polityki dla narzędzi administracyjnych.
• Stosować EDR/XDR dla macOS z telemetrią procesową oraz regułami wykrywającymi nadużycie zaufanych aplikacji systemowych.
• Szkolić użytkowników, aby nie wykonywali „napraw” prezentowanych przez losowe strony internetowe.
• Promować korzystanie wyłącznie z oficjalnej dokumentacji producenta podczas rozwiązywania problemów systemowych.
• W przypadku podejrzenia kompromitacji przeprowadzić rotację haseł, unieważnienie sesji, przegląd zapisanych sekretów i ocenę pełnego zasięgu incydentu.

Z perspektywy reagowania na incydent warto dodatkowo przeanalizować artefakty w katalogach tymczasowych, historię uruchomień procesów, ślady pobrań internetowych oraz wykonania skryptów przez komponenty AppleScript i JXA. Sama eliminacja pliku malware może nie być wystarczająca, jeśli doszło już do wycieku danych uwierzytelniających.

Podsumowanie

Nowa kampania wymierzona w macOS pokazuje, że operatorzy zagrożeń stale udoskonalają techniki ClickFix i adaptują je do zachowań użytkowników. Nadużycie Script Editor zamiast Terminala zwiększa skuteczność socjotechniki i wpisuje się w model wykorzystywania zaufanych narzędzi systemowych do realizacji złośliwych celów.

Atomic Stealer pozostaje istotnym zagrożeniem dla środowisk Apple, szczególnie tam, gdzie na stacjach roboczych przechowywane są hasła, dane przeglądarek i aktywa kryptowalutowe. Dla zespołów bezpieczeństwa kluczowe znaczenie mają monitoring procesów, detekcja łańcuchów wykonania oraz konsekwentna edukacja użytkowników w zakresie fałszywych instrukcji i pozornie nieszkodliwych skryptów.

Źródła

1. BleepingComputer — https://www.bleepingcomputer.com/news/security/new-macos-stealer-campaign-uses-script-editor-in-clickfix-attack/
2. Jamf Threat Labs — https://www.jamf.com/blog/clickfix-on-macos-script-editor-abuse/
3. Apple Platform Security — https://support.apple.com/guide/security/welcome/web
4. MITRE ATT&CK — Command and Scripting Interpreter — https://attack.mitre.org/techniques/T1059/
5. MITRE ATT&CK — przegląd technik związanych z kradzieżą poświadczeń — https://attack.mitre.org/