গবেষকরা একটি ভিন্ন ধরনের ম্যাজকার্ট কার্ড-স্কিমিং ক্যাম্পেইন দেখেন

গবেষকরা একটি ভিন্ন ধরনের ম্যাজকার্ট কার্ড-স্কিমিং ক্যাম্পেইন দেখেন

সময় স্ট্যাম্প: 6 জুন, 2023 5:55 অপরাহ্ন
উত্স নোড: 2704378

Magecart ছাতার অধীনে একজন আক্রমণকারী মার্কিন যুক্তরাষ্ট্র, যুক্তরাজ্য এবং অন্যান্য পাঁচটি দেশে একটি অজানা সংখ্যক ই-কমার্স সাইটকে ক্রেডিট কার্ড নম্বর এবং ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) স্কিম করার জন্য ম্যালওয়্যার দ্বারা সংক্রামিত করেছে যা এই সাইটগুলিতে কেনাকাটা করছে। কিন্তু একটি নতুন বলিতে, হুমকি অভিনেতা অন্যান্য টার্গেট সাইটগুলিতে কার্ড-স্কিমিং ম্যালওয়্যার সরবরাহ করার জন্য হোস্ট হিসাবে একই সাইটগুলি ব্যবহার করছেন।

আকামাই থেকে গবেষকরা যারা চলমান প্রচারাভিযান লক্ষ্য করেছেন নোট করেছেন যে এটি শুধুমাত্র প্রচারাভিযানটিকে আগের ম্যাগকার্ট কার্যকলাপ থেকে আলাদা করে তোলে না, এটি আরও অনেক বেশি বিপজ্জনক।

তারা মূল্যায়ন করে যে সাইবার আক্রমণগুলি কমপক্ষে এক মাস ধরে চলছে এবং ইতিমধ্যে কয়েক হাজার লোককে সম্ভাব্যভাবে প্রভাবিত করেছে। আকামাই বলেছেন যে মার্কিন যুক্তরাষ্ট্র এবং যুক্তরাজ্য ছাড়াও, এটি ব্রাজিল, স্পেন, এস্তোনিয়া, অস্ট্রেলিয়া এবং পেরুর প্রচারাভিযানের দ্বারা প্রভাবিত ওয়েবসাইটগুলি দেখেছে।

পেমেন্ট কার্ড চুরি এবং আরো: একটি দ্বৈত আপস

Magecart হল অনলাইন পেমেন্ট কার্ড-স্কিমিং আক্রমণে জড়িত সাইবার অপরাধী গোষ্ঠীগুলির একটি আলগা সমষ্টি৷ বিগত বেশ কয়েক বছর ধরে, এই গোষ্ঠীগুলি তাদের নামের কার্ড স্কিমারগুলিকে বিশ্বব্যাপী হাজার হাজার সাইটে ইনজেকশন দিয়েছে — যেমন সাইটগুলি সহ TicketMaster এবং ব্রিটিশ বিমান সংস্থা —এবং তাদের কাছ থেকে লক্ষ লক্ষ ক্রেডিট কার্ড চুরি করেছে, যা তারা বিভিন্ন উপায়ে নগদীকরণ করেছে। 

আকমাই গত বছর 9,200টি ই-কমার্স সাইটে Magecart আক্রমণ গণনা করেছে, যার মধ্যে 2,468টি 2022 সালের শেষ পর্যন্ত সংক্রমিত ছিল।

টিপিক্যাল মোড অপারেশন এই গোষ্ঠীগুলির জন্য গোপনে বৈধ ই-কমার্স সাইটগুলিতে দূষিত কোড প্রবেশ করানো হয়েছে — বা তৃতীয় পক্ষের উপাদান যেমন ট্র্যাকার এবং শপিং কার্টগুলিতে — যা সাইটগুলি পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে ব্যবহার করে৷ যখন ব্যবহারকারীরা আপস করা ওয়েবসাইটের চেকআউট পৃষ্ঠায় ক্রেডিট কার্ডের তথ্য এবং অন্যান্য সংবেদনশীল ডেটা প্রবেশ করে, তখন স্কিমাররা নীরবে ডেটা আটকায় এবং এটি একটি দূরবর্তী সার্ভারে পাঠায়। এখনও অবধি, আক্রমণকারীরা ম্যাগেকার্ট আক্রমণে প্রাথমিকভাবে ওপেন সোর্স ম্যাজেন্টো ই-কমার্স প্ল্যাটফর্ম চালানো সাইটগুলিকে লক্ষ্য করেছে৷

সাম্প্রতিক প্রচারাভিযানটি কিছুটা ভিন্ন যে আক্রমণকারী শুধুমাত্র একটি ম্যাগকার্ট কার্ড স্কিমারকে টার্গেট সাইটগুলিতে ইনজেকশন দিচ্ছে না বরং ক্ষতিকারক কোড বিতরণ করার জন্য তাদের অনেককে হাইজ্যাক করছে। 

"বৈধ ওয়েবসাইট ডোমেনগুলি ব্যবহার করার প্রাথমিক সুবিধাগুলির মধ্যে একটি হল অন্তর্নিহিত বিশ্বাস যা এই ডোমেনগুলি সময়ের সাথে তৈরি করেছে," আকামাই বিশ্লেষণ অনুসারে৷ "নিরাপত্তা পরিষেবা এবং ডোমেন স্কোরিং সিস্টেমগুলি সাধারণত একটি ইতিবাচক ট্র্যাক রেকর্ড এবং বৈধ ব্যবহারের ইতিহাস সহ ডোমেনগুলিতে উচ্চতর বিশ্বাসের স্তর বরাদ্দ করে৷ ফলস্বরূপ, এই ডোমেইনগুলির অধীনে পরিচালিত দূষিত কার্যকলাপগুলি অনাবিষ্কৃত হওয়ার বা স্বয়ংক্রিয় নিরাপত্তা ব্যবস্থা দ্বারা সৌম্য হিসাবে বিবেচিত হওয়ার সম্ভাবনা বেড়ে যায়।"

এছাড়াও, সাম্প্রতিক অপারেশনের পিছনে আক্রমণকারী শুধুমাত্র Magento নয় বরং WooCommerce, Shopify এবং WordPress এর মতো অন্যান্য সফ্টওয়্যার চালানোর সাইটগুলিতেও আক্রমণ করছে।

একটি ভিন্ন পদ্ধতি, একই ফলাফল

আকামাই গবেষক রোমান লভোভস্কি ব্লগ পোস্টে লিখেছেন, "প্রচারণার সবচেয়ে উল্লেখযোগ্য অংশগুলির মধ্যে একটি হল আক্রমণকারীরা ওয়েব স্কিমিং প্রচারাভিযান পরিচালনা করার জন্য তাদের পরিকাঠামো স্থাপন করার উপায়।" "প্রচারণাটি আন্তরিকভাবে শুরু করার আগে, আক্রমণকারীরা ক্ষতিকারক ওয়েবসাইটগুলিকে 'হোস্ট' হিসাবে কাজ করার জন্য ক্ষতিকারক কোড খুঁজবে যা পরে ওয়েব স্কিমিং আক্রমণ তৈরি করতে ব্যবহৃত হয়।"

আকামাই-এর প্রচারাভিযানের বিশ্লেষণে দেখা গেছে আক্রমণকারী দূষিত কার্যকলাপকে অস্পষ্ট করার জন্য একাধিক কৌশল ব্যবহার করে। উদাহরণস্বরূপ, একটি টার্গেট ওয়েবসাইটে সরাসরি স্কিমারের ইনজেকশন দেওয়ার পরিবর্তে, আকামাই আক্রমণকারীকে তার ওয়েবপৃষ্ঠাগুলিতে একটি ছোট জাভাস্ক্রিপ্ট কোড স্নিপেট ইনজেকশন করতে দেখেছেন যা একটি হোস্ট ওয়েবসাইট থেকে দূষিত স্কিমারটি নিয়ে এসেছে। 

আক্রমণকারী জাভাস্ক্রিপ্ট লোডারটিকে গুগল ট্যাগ ম্যানেজার, ফেসবুক পিক্সেল ট্র্যাকিং কোড এবং অন্যান্য বৈধ তৃতীয় পক্ষের পরিষেবাগুলির মতো দেখতে ডিজাইন করেছে, তাই এটি চিহ্নিত করা কঠিন হয়ে পড়ে৷ চলমান Magecart-এর মতো প্রচারণার অপারেটরও স্কিমারের হোস্টিং আপস করা ওয়েবসাইটের URL গুলিকে অস্পষ্ট করার জন্য Base64 এনকোডিং ব্যবহার করছে। 

"চুরি করা ডেটা বের করে দেওয়ার প্রক্রিয়াটি একটি সরল HTTP অনুরোধের মাধ্যমে সম্পাদিত হয়, যা স্কিমার কোডের মধ্যে একটি আইএমজি ট্যাগ তৈরি করে শুরু করা হয়," লেভোভস্কি লিখেছেন। "চুরি করা ডেটা তারপর অনুরোধের সাথে কোয়েরি প্যারামিটার হিসাবে যুক্ত করা হয়, একটি বেস 64 স্ট্রিং হিসাবে এনকোড করা হয়।"

একটি পরিশীলিত বিশদ হিসাবে, আকামাই স্কিমার ম্যালওয়্যারে কোডও খুঁজে পেয়েছিল যা নিশ্চিত করে যে এটি একই ক্রেডিট কার্ড এবং ব্যক্তিগত তথ্য দুবার চুরি করেনি।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া

মিশন সিকিউর সেন্টিনেল 5.0 প্ল্যাটফর্ম রিলিজ করে, প্রসঙ্গ-সচেতন, গুরুত্বপূর্ণ অবকাঠামো ওটির জন্য জিরো ট্রাস্ট নিরাপত্তা সক্ষম করে

উত্স ক্লাস্টার:
উত্স নোড: 1736810
সময় স্ট্যাম্প: নভেম্বর 1, 2022