Kradljivci kartica sakrili se u 1x1 SVG sliku — i to nije šala

Hakeri su pronašli novi način da ukradu podatke o kreditnim karticama: sakrili su skimer u 1x1-pikselnu SVG datoteku, toliko malenu da je neprimjetna golim okom, a opet dovoljno moćna da prevari sigurnosne skenere. Prema istraživanju Sansec, napadači su iskoristili PolyShell ranjivost — propust u Magento alatu za razvoj — da ubace zlonamjerni kod u gotovo stotinu e-trgovina.

Najgore od svega: korisnici vide lažni „Secure Checkout“ overlay, dok im se u pozadini šalju podaci na šest domena smještenih u Nizozemskoj. Svaka od tih domena primala je podatke od do 15 žrtava, što znači da je riječ o organiziranom napadu, a ne o pojedinačnim pokušajima. „Cijeli malware živi inline, kodiran kao jedan string atribut“, objašnjava Sansec, što znači da tradicionalni antivirusni alati jednostavno ne vide prijetnju jer ne traže opasnost u grafičkim datotekama.

Problem je još veći jer Adobeova zakrpa za PolyShell — objavljena nakon masovne eksplozije 19. ožujka — još uvijek ne štiti sve produkcijske verzije. Ovo nije samo tehnički trik, već promjena u strategiji napadača.

Umjesto da ciljaju poslužitelje, sada iskorištavaju slijepu točku u web razvoju: alat koji bi trebao olakšati posao programerima postaje oružje protiv njih samih. A najgore?

Većina trgovina ne provjerava SVG datoteke jer ih smatra „bezopasnim“ — kao da je riječ o nekom digitalnom ekvivalentu trojanskog konja u ambalaži od slatkiša.

Za korisnike ovo znači da više ne mogu vjerovati ni „sigurnim“ ikonicama na stranicama za plaćanje. Ako je skimer sakriven u SVG-u koji prikazuje logo banke ili zatvorenu bravu, kako onda razlikovati pravi od lažnog? TechRadar ističe da je ovo dio šireg trenda: napadači sve više kamufliraju malware u legitimne elemente, poput fontova, CSS-a ili — kao u ovom slučaju — mikroskopskih slika.

Za trgovine je poruka jasna: hitno ažuriranje Magento verzija je minimum, ali to nije dovoljno. Potrebno je skenirati sve SVG datoteke na stranicama, blokirati promet prema sumnjivim domenama (popis je objavljen ovdje) i provjeriti ima li „skrivenih“ tabova u pregledaču koji prikupljaju podatke.

Problem je što većina maloprodajnih platformi nema resurse za takvu dubinsku analizu — a hakeri to znaju. Najironičnije?

PolyShell je bio dizajniran da pojednostavi razvoj, ali je postao najslabija karika. To je klasičan primjer kako alati namijenjeni produktivnosti mogu postati usko grlo sigurnosti ako se ne nadgledaju.

A dok Adobe radi na zakrpama, pitanje je koliko će trgovina stvarno provjeriti svoje stranice — ili će čekati dok im klijenti ne počnu žaliti se na krađu podataka.

Tehnička rješenja postoje, ali ključ leži u promjeni mentaliteta. Alati poput PolyShella nisu krivi — problem je u zanemarivanju osnovnih principa sigurnosti. Sve dok trgovine ne shvate da je svaka datoteka potencijalna prijetnja, napadači će imati prednost.