كشف باحثون في مجال الأمن السيبراني عن حملة برامج ضارة تهدف إلى سرقة معلومات بطاقات الائتمان، حيث تستهدف مواقع التجارة الإلكترونية التي تعمل على منصة Magento. يتم ذلك عن طريق إخفاء المحتوى الضار داخل وسم الصور في كود HTML لتجنب الاكتشاف.
تُعرف هذه البرامج الضارة باسم MageCart، وهي قادرة على سرقة معلومات الدفع الحساسة من مواقع التسوق عبر الإنترنت. تستخدم هذه الهجمات تقنيات متنوعة، سواء على جانب العميل أو الخادم، لاختراق المواقع ونشر برامج سرقة بطاقات الائتمان لتسهيل عملية السرقة.
عادةً ما يتم تنشيط هذه البرامج الضارة فقط عندما يزور المستخدمون صفحات الدفع لإدخال تفاصيل بطاقات الائتمان، إما عن طريق تقديم نموذج مزيف أو التقاط المعلومات التي يدخلها الضحايا في الوقت الفعلي.
يشير مصطلح MageCart إلى الهدف الأصلي لمجموعات الجرائم الإلكترونية، وهي منصة Magento التي توفر ميزات سلة التسوق ودفع الفواتير لتجار التجزئة عبر الإنترنت. على مر السنين، تكيفت هذه الحملات مع تكتيكات جديدة عن طريق إخفاء الأكواد الضارة عبر التشفير والتعتيم داخل مصادر تبدو غير ضارة، مثل الصور المزيفة، وملفات الصوت، والأيقونات، وحتى صفحات الأخطاء 404.
الأمن السيبراني
قالت الباحثة في شركة Sucuri، كايلي مارتن: “في هذه الحالة، يتبع البرنامج الضار الذي يؤثر على العميل نفس الهدف — البقاء مخفيًا. ويتم ذلك عن طريق إخفاء المحتوى الضار داخل وسم <img>، مما يجعله سهل التغاضي عنه.”
وأضافت: “من الشائع أن تحتوي وسوم <img> على سلاسل طويلة، خاصة عند الإشارة إلى مسارات ملفات الصور أو الصور المشفرة بتنسيق Base64، بالإضافة إلى السمات الإضافية مثل الارتفاع والعرض.”
الفرق الوحيد هنا هو أن وسم <img> يعمل كطعم، حيث يحتوي على محتوى مشفر بتنسيق Base64 يشير إلى كود JavaScript يتم تنشيطه عند اكتشاف حدث onerror. وهذا يجعل الهجوم أكثر خداعًا، حيث أن المتصفح يثق بشكل تلقائي بوظيفة onerror .
وأوضحت مارتن: “إذا فشلت صورة في التحميل، فإن وظيفة onerror ستجعل المتصفح يعرض أيقونة صورة معطوبة بدلاً من ذلك. ولكن في هذا السياق، يتم اختطاف حدث onerror لتنفيذ كود JavaScript بدلاً من مجرد التعامل مع الخطأ.”
بالإضافة إلى ذلك، يوفر الهجوم ميزة إضافية للمهاجمين، حيث أن عنصر <img> في HTML يعتبر بشكل عام غير ضار. من جانبها، تتحقق البرامج الضارة مما إذا كان المستخدم في صفحة الدفع وتنتظر المستخدمين غير المرتابين للنقر على زر “إرسال” لسرقة معلومات الدفع الحساسة وإرسالها إلى خادم خارجي.
نشر برامج سرقة الدفع
تم تصميم البرنامج النصي لإدراج نموذج ضار بشكل ديناميكي يحتوي على ثلاثة حقول: رقم البطاقة، تاريخ الانتهاء، ورمز CVV، بهدف نقل هذه البيانات إلى موقع wellfacing[.]com .
وقالت مارتن: “يحقق المهاجم هدفين مثيرين للإعجاب من خلال هذا البرنامج النصي الضار: تجنب الاكتشاف السهل من قبل أدوات المسح الأمني عن طريق تشفير البرنامج النصي الضار داخل وسم <img>، وضمان عدم ملاحظة المستخدمين النهائيين لأي تغييرات غير عادية عند إدراج النموذج الضار، مما يبقيه مخفيًا لأطول فترة ممكنة.”
وأضافت: “يهدف المهاجمون الذين يستهدفون منصات مثل Magento وWooCommerce وPrestaShop وغيرها إلى البقاء مخفيين لأطول فترة ممكنة، وغالبًا ما تكون البرامج الضارة التي يحقنونها في المواقع أكثر تعقيدًا من تلك التي تؤثر على المواقع الأخرى.”
الأمن السيبراني
جاء هذا التطور بينما كشفت شركة أمن المواقع عن حادثة تتعلق بموقع يعمل على نظام WordPress، حيث تم استغلال دليل mu-plugins (أو الإضافات الإلزامية) لزرع أبواب خلفية وتنفيذ أكواد PHP ضارة بشكل خفي.
وقالت بوجا سريفاستافا: “على عكس الإضافات العادية، يتم تحميل الإضافات الإلزامية تلقائيًا في كل مرة يتم فيها تحميل الصفحة، دون الحاجة إلى تفعيلها أو ظهورها في قائمة الإضافات القياسية.”
وأضافت: “يستغل المهاجمون هذا الدليل للحفاظ على الاستمرارية وتجنب الاكتشاف، حيث يتم تنفيذ الملفات الموضوعة هنا تلقائيًا ولا يمكن تعطيلها بسهولة من لوحة تحكم WordPress .”
