2026-yil 7-aprel kuni aniqlangan yirik Magecart kampaniyasi doirasida 99 ta Magento e-commerce sayti buzilgani ma’lum bo‘ldi. Xakerlar bu safar an’anaviy usullardan voz kechib, yangi va murakkab yashirinish texnikasidan foydalangan.
Ular zararli kodni oddiy skript sifatida emas, balki ko‘rinmas SVG (Scalable Vector Graphics) elementi ichiga joylashtirgan va shu orqali to‘lov sahifalariga kredit karta ma’lumotlarini o‘g‘irlovchi skimmer joylashtirgan.
"Zararli kod SVG elementining onload atributi ichida yashirilgan bo‘lib, u to‘liq inline ishlaydi va aniqlanishni qiyinlashtiradi"
Mazkur hujum “double-tap” texnikasi orqali amalga oshiriladi. Foydalanuvchi to‘lovni amalga oshirmoqchi bo‘lganida, sahifada soxta “Secure Checkout” oynasi paydo bo‘ladi. U haqiqiy to‘lov sahifasiga juda o‘xshash bo‘lib, foydalanuvchini aldaydi.
Foydalanuvchi karta ma’lumotlarini kiritgandan so‘ng, ular darhol o‘g‘irlanadi, ammo foydalanuvchi bu jarayonni sezmaydi — chunki tizim uni keyinchalik haqiqiy checkout sahifasiga yo‘naltiradi.
"Foydalanuvchi barcha ma’lumotlarni kiritgach, u avtomatik tarzda haqiqiy to‘lov sahifasiga o‘tkaziladi va o‘g‘irlik yashirin qoladi"
Texnik jihatdan hujum quyidagicha ishlaydi:
- Sahifaga 1×1 piksel hajmdagi ko‘rinmas SVG joylashtiriladi
- Zararli kod SVG’ning onload atributiga yoziladi
- Kod base64 formatda yashiriladi va atob() orqali ochiladi
- setTimeout yordamida ishga tushiriladi
Bu usulning asosiy ustunligi — u tashqi skriptlardan foydalanmaydi, ya’ni xavfsizlik tizimlari tomonidan aniqlanish ehtimoli past bo‘ladi.
Hujum boshlanishi bilan zararli kod foydalanuvchi harakatlarini kuzatadi. JavaScript’dagi useCapture hodisasi orqali to‘lov tugmasi bosilishidan oldin ma’lumotlar ushlab olinadi.
O‘g‘irlangan ma’lumotlar esa maxsus shifrlash orqali himoyalanadi:
- XOR algoritmi (“script” kaliti bilan)
- base64 formatga o‘tkaziladi
Shundan so‘ng ma’lumotlar xakerlarga tegishli serverlarga yuboriladi. Qiziq jihati, bu trafik /fb_metrics.php nomi bilan yuborilib, Facebook analitika trafikiga o‘xshatib yashiriladi.
"Zararli trafik Facebook analitikasi sifatida ko‘rsatiladi, bu esa aniqlashni yanada qiyinlashtiradi"
Sansec mutaxassislariga ko‘ra, ushbu hujumlar ehtimol hali ham yopilmagan PolyShell zaifligi orqali amalga oshirilmoqda.
Administratorlarga quyidagi belgilar orqali tizimni tekshirish tavsiya etiladi:
- Sahifada shubhali
<svg>elementlari va onload atributlari mavjudligi - atob() funksiyasi orqali dekodlash jarayonlari
- Brauzer local storage’da _mgx_cv kalitining mavjudligi
- Tarmoq loglarida no-cors rejimida yuborilgan POST so‘rovlari
Shuningdek, barcha zararli domenlar bitta IP manzilga (23.137.249.67, Niderlandiya) ulangan.
Mutaxassislar Magento va Adobe Commerce foydalanuvchilariga tizimlarini zudlik bilan yangilash va xavfsizlik tekshiruvlarini o‘tkazishni tavsiya qilmoqda.
