أصاب مهاجم تحت مظلة Magecart عددًا غير معروف من مواقع التجارة الإلكترونية في الولايات المتحدة والمملكة المتحدة وخمسة بلدان أخرى ببرامج ضارة للتخلص من أرقام بطاقات الائتمان ومعلومات التعريف الشخصية (PII) الخاصة بأشخاص يجرون عمليات شراء على هذه المواقع. ولكن في تجعد جديد ، يستخدم ممثل التهديد أيضًا المواقع نفسها التي يستخدمها المضيفون لتسليم البرامج الضارة للتخلص من البطاقات إلى المواقع المستهدفة الأخرى.
باحثون من Akamai لاحظ من اكتشف الحملة المستمرة أن هذا لا يجعل الحملة مختلفة فقط عن نشاط Magecart السابق ، ولكنه أيضًا أكثر خطورة.
ويقدرون أن الهجمات الإلكترونية مستمرة منذ شهر واحد على الأقل وربما أثرت بالفعل على عشرات الآلاف من الأشخاص. قال أكاماي إنه بالإضافة إلى الولايات المتحدة والمملكة المتحدة ، فقد رصدت مواقع ويب متأثرة بالحملة في البرازيل وإسبانيا وإستونيا وأستراليا وبيرو.
سرقة بطاقات الدفع والمزيد: حل وسط مزدوج
Magecart هي مجموعة فضفاضة من مجرمي الإنترنت المتورطين في هجمات سرقة بطاقات الدفع عبر الإنترنت. على مدار السنوات العديدة الماضية ، قامت هذه المجموعات بحقن كاشطات بطاقات تحمل الاسم نفسه في عشرات الآلاف من المواقع حول العالم - بما في ذلك مواقع مثل تيكت و خطوط الطيران البريطانية —سرقوا ملايين بطاقات الائتمان منهم ، والتي قاموا بعد ذلك باستثمارها بطرق مختلفة.
أحصى Akamai هجمات Magecart على 9,200 موقع للتجارة الإلكترونية العام الماضي ، منها 2,468 موقعًا لا يزال مصابًا حتى نهاية عام 2022.
نموذجي طريقة عملها بالنسبة لهذه المجموعات ، تقوم بحقن شفرة ضارة خلسة في مواقع التجارة الإلكترونية المشروعة - أو في مكونات الجهات الخارجية مثل أدوات التتبع وعربات التسوق - التي تستخدمها المواقع ، من خلال استغلال نقاط الضعف المعروفة. عندما يقوم المستخدمون بإدخال معلومات بطاقة الائتمان وغيرها من البيانات الحساسة على صفحة الخروج من مواقع الويب المخترقة ، فإن الكاشطات تعترض البيانات بصمت وترسلها إلى خادم بعيد. حتى الآن ، استهدف المهاجمون في المقام الأول المواقع التي تشغل منصة التجارة الإلكترونية Magento مفتوحة المصدر في هجمات Magecart.
تختلف الحملة الأخيرة اختلافًا طفيفًا من حيث أن المهاجم لا يقوم فقط بحقن مقشدة بطاقة Magecart في المواقع المستهدفة ولكنه يخطف أيضًا العديد منها لتوزيع تعليمات برمجية ضارة.
وفقًا لتحليل Akamai ، "تتمثل إحدى المزايا الأساسية لاستخدام نطاقات مواقع الويب الشرعية في الثقة المتأصلة التي بنتها هذه المجالات بمرور الوقت". "عادةً ما تقوم خدمات الأمان وأنظمة تسجيل المجال بتعيين مستويات ثقة أعلى للمجالات ذات السجل الإيجابي وتاريخ الاستخدام المشروع. ونتيجة لذلك ، فإن الأنشطة الخبيثة التي يتم إجراؤها ضمن هذه المجالات تزداد فرص عدم اكتشافها أو معاملتها على أنها حميدة من قبل أنظمة الأمان الآلية ".
بالإضافة إلى ذلك ، كان المهاجم الذي يقف وراء العملية الأخيرة يهاجم أيضًا المواقع التي لا تشغل Magento فقط ولكن البرامج الأخرى ، مثل WooCommerce و Shopify و WordPress.
نهج مختلف ، نفس النتيجة
كتب الباحث في Akamai رومان لفوفسكي في منشور المدونة: "أحد أبرز أجزاء الحملة هو الطريقة التي أنشأ بها المهاجمون بنيتهم التحتية لإجراء حملة القشط على الويب". "قبل أن تبدأ الحملة بشكل جدي ، سيسعى المهاجمون إلى البحث عن مواقع الويب المعرضة للخطر لتكون بمثابة" مضيفين "للشفرة الضارة التي تُستخدم لاحقًا لإنشاء هجوم القشط على الويب."
أظهر تحليل Akamai للحملة أن المهاجم يستخدم حيلًا متعددة للتعتيم على النشاط الضار. على سبيل المثال ، بدلاً من حقن الكاشطة مباشرة في موقع ويب مستهدف ، وجد Akamai أن المهاجم يضخ مقتطفًا صغيرًا من شفرة JavaScript في صفحات الويب الخاصة به ، ثم يقوم بعد ذلك بجلب الكاشطة الضارة من موقع ويب مضيف.
صمم المهاجم أداة تحميل JavaScript لتبدو مثل Google Tag Manager ، ورمز تتبع Facebook Pixel ، وخدمات أخرى شرعية تابعة لجهات خارجية ، لذلك يصعب اكتشافها. يستخدم مشغل حملة Magecart المستمرة أيضًا تشفير Base64 للتشويش على عناوين URL لمواقع الويب المخترقة التي تستضيف الكاشطة.
كتب Lvovsky: "يتم تنفيذ عملية استخراج البيانات المسروقة من خلال طلب HTTP مباشر ، والذي يبدأ من خلال إنشاء علامة IMG داخل شفرة الكاشطة". "ثم يتم إلحاق البيانات المسروقة بالطلب كمعلمات استعلام ، مشفرة كسلسلة Base64."
كتفصيل متطور ، وجد Akamai أيضًا رمزًا في البرنامج الضار للكاشطة يضمن أنه لم يسرق نفس بطاقة الائتمان والمعلومات الشخصية مرتين.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign