Hackers Escondem Malware para Roubo de Cartões em Imagem SVG de Um Pixel
Uma campanha em larga escala foi descoberta, onde dados de cartões de crédito são roubados através de malware escondido em imagens SVG de um pixel. O ataque afeta lojas online Magento, explorando uma vulnerabilidade recente para injetar um web skimmer.
MundiX News·13 de abril de 2026·5 min de leitura·👁 2 views
Especialistas da Sansec detectaram uma campanha em larga escala de roubo de dados de pagamento, onde um malware se esconde dentro de uma imagem SVG de um pixel e intercepta dados de cartões bancários durante o processo de checkout.
Os pesquisadores alertam que o ataque afetou quase 100 lojas online na plataforma Magento. Os atacantes encontraram uma maneira não trivial de esconder um web skimmer: o malware é injetado no código HTML da página como um elemento SVG de 1x1 pixel com um manipulador onload. Visualmente, a invasão é imperceptível, os scanners também não a detectam, mas o código malicioso funciona.
Dentro do atributo onload está escondido todo o payload do skimmer, codificado em base64 através de uma chamada atob() e executado através de setTimeout. Os especialistas explicam que os atacantes não usam scripts externos e links suspeitos que poderiam alertar os sistemas de monitoramento. O malware está totalmente localizado na marcação da página como uma única linha.
Quando um comprador em uma loja infectada clica no botão "Finalizar Compra", o script intercepta o clique e exibe uma janela falsa de "Secure Checkout" sobre a página, com campos para inserir o número do cartão e o endereço de cobrança. Esses dados são validados pelo algoritmo de Luhn em tempo real e, em seguida, enviados aos atacantes: o payload é primeiro criptografado com XOR, depois codificado em base64 e transmitido para o servidor dos hackers em formato JSON.
Os especialistas descobriram seis domínios para exfiltração de dados, e todos eles estavam hospedados no provedor IncogNet LLC (AS40663) na Holanda. Cada um dos domínios recebeu dados de 10 a 15 vítimas confirmadas.
De acordo com os pesquisadores, o ponto de entrada provavelmente foi uma vulnerabilidade RCE recente, a PolyShell, que se tornou conhecida em meados de março. O bug afeta todas as instalações estáveis do Magento Open Source e Adobe Commerce versão 2 e permite a execução de código arbitrário sem autenticação, bem como a captura de contas.
A Sansec já havia alertado que mais da metade de todas as lojas vulneráveis foram atacadas através do PolyShell (algumas delas acabaram infectadas com skimmers para exfiltração de dados via WebRTC).
Vale ressaltar que os desenvolvedores da Adobe ainda não lançaram um patch para as versões de produção do Magento. Por enquanto, a correção está disponível apenas no pré-lançamento 2.4.9-alpha3+, e a empresa não tem pressa em comentar a situação em torno da vulnerabilidade e sua exploração.
Até que um patch oficial seja lançado, os especialistas recomendam aplicar todas as medidas de proteção disponíveis e, se possível, atualizar para a versão beta mais recente do Magento. Isso inclui monitoramento de integridade de arquivos, análise de tráfego de rede e implementação de um Web Application Firewall (WAF) para mitigar tentativas de exploit.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Sansec detectaram uma campanha em larga escala de roubo de dados de pagamento, onde um malware se esconde dentro de uma imagem SVG de um pixel e intercepta dados de cartões bancários durante o processo de checkout.
Os pesquisadores alertam que o ataque afetou quase 100 lojas online na plataforma Magento. Os atacantes encontraram uma maneira não trivial de esconder um web skimmer: o malware é injetado no código HTML da página como um elemento SVG de 1x1 pixel com um manipulador onload. Visualmente, a invasão é imperceptível, os scanners também não a detectam, mas o código malicioso funciona.
Dentro do atributo onload está escondido todo o payload do skimmer, codificado em base64 através de uma chamada atob() e executado através de setTimeout. Os especialistas explicam que os atacantes não usam scripts externos e links suspeitos que poderiam alertar os sistemas de monitoramento. O malware está totalmente localizado na marcação da página como uma única linha.
Quando um comprador em uma loja infectada clica no botão "Finalizar Compra", o script intercepta o clique e exibe uma janela falsa de "Secure Checkout" sobre a página, com campos para inserir o número do cartão e o endereço de cobrança. Esses dados são validados pelo algoritmo de Luhn em tempo real e, em seguida, enviados aos atacantes: o payload é primeiro criptografado com XOR, depois codificado em base64 e transmitido para o servidor dos hackers em formato JSON.
Os especialistas descobriram seis domínios para exfiltração de dados, e todos eles estavam hospedados no provedor IncogNet LLC (AS40663) na Holanda. Cada um dos domínios recebeu dados de 10 a 15 vítimas confirmadas.
De acordo com os pesquisadores, o ponto de entrada provavelmente foi uma vulnerabilidade RCE recente, a PolyShell, que se tornou conhecida em meados de março. O bug afeta todas as instalações estáveis do Magento Open Source e Adobe Commerce versão 2 e permite a execução de código arbitrário sem autenticação, bem como a captura de contas.
A Sansec já havia alertado que mais da metade de todas as lojas vulneráveis foram atacadas através do PolyShell (algumas delas acabaram infectadas com skimmers para exfiltração de dados via WebRTC).
Vale ressaltar que os desenvolvedores da Adobe ainda não lançaram um patch para as versões de produção do Magento. Por enquanto, a correção está disponível apenas no pré-lançamento 2.4.9-alpha3+, e a empresa não tem pressa em comentar a situação em torno da vulnerabilidade e sua exploração.
Até que um patch oficial seja lançado, os especialistas recomendam aplicar todas as medidas de proteção disponíveis e, se possível, atualizar para a versão beta mais recente do Magento. Isso inclui monitoramento de integridade de arquivos, análise de tráfego de rede e implementação de um Web Application Firewall (WAF) para mitigar tentativas de exploit.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
