یک مهاجم تحت چتر Magecart تعداد نامعلومی از سایتهای تجارت الکترونیک در ایالات متحده، بریتانیا و پنج کشور دیگر را به بدافزاری برای بررسی شماره کارتهای اعتباری و اطلاعات شناسایی شخصی (PII) متعلق به افرادی که در این سایتها خرید میکنند، آلوده کرده است. اما در چین و چروک جدید، عامل تهدید نیز از همان سایتهایی به عنوان میزبان برای ارسال بدافزار اسکیمینگ کارت به سایتهای هدف دیگر استفاده میکند.
محققان از Akamai کسانی که کمپین در حال انجام را مشاهده کردند، توجه داشته باشند که این نه تنها کمپین را از فعالیت قبلی Magecart متفاوت می کند، بلکه بسیار خطرناک تر نیز می شود.
آنها ارزیابی می کنند که حملات سایبری حداقل یک ماه است که ادامه دارد و ده ها هزار نفر را تحت تاثیر قرار داده است. آکامای گفت که علاوه بر ایالات متحده و بریتانیا، وب سایت هایی را که تحت تأثیر این کمپین قرار گرفته اند در برزیل، اسپانیا، استونی، استرالیا و پرو نیز مشاهده کرده است.
سرقت کارت پرداخت و موارد دیگر: یک سازش مضاعف
Magecart مجموعهای از گروههای مجرم سایبری است که در حملات پرداخت کارتهای پرداخت آنلاین مشارکت دارند. طی چند سال گذشته، این گروهها اسکیمرهای کارتی همنام خود را به دهها هزار سایت در سراسر جهان تزریق کردهاند - از جمله سایتهایی مانند TicketMaster و بریتیش ایرویز و میلیونها کارت اعتباری را از آنها دزدیدند، که سپس به روشهای مختلف درآمدزایی کردند.
Akamai حملات Magecart را در سال گذشته به 9,200 سایت تجارت الکترونیکی شمارش کرد که از این تعداد 2,468 تا پایان سال 2022 آلوده باقی ماندند.
معمولی طرز عمل زیرا این گروهها بهطور مخفیانه کدهای مخرب را به سایتهای تجارت الکترونیک قانونی – یا به اجزای شخص ثالث مانند ردیابها و سبد خرید – که سایتها از آنها استفاده میکنند، با بهرهبرداری از آسیبپذیریهای شناخته شده تزریق میکنند. هنگامی که کاربران اطلاعات کارت اعتباری و سایر دادههای حساس را در صفحه پرداخت وبسایتهای در معرض خطر وارد میکنند، اسکیمرها بیصدا دادهها را رهگیری کرده و به یک سرور راه دور ارسال میکنند. تا کنون، مهاجمان عمدتاً سایتهایی را که پلتفرم تجارت الکترونیک منبع باز Magento را در حملات Magecart اجرا میکنند، هدف قرار دادهاند.
کمپین اخیر کمی متفاوت است، زیرا مهاجم نه تنها یک اسکیمر کارت Magecart را به سایت های هدف تزریق می کند، بلکه بسیاری از آنها را برای توزیع کدهای مخرب ربوده است.
بر اساس تجزیه و تحلیل Akamai، "یکی از مزایای اصلی استفاده از دامنه های وب سایت قانونی، اعتماد ذاتی است که این دامنه ها در طول زمان ایجاد کرده اند." سرویسهای امنیتی و سیستمهای امتیازدهی دامنه معمولاً سطوح اعتماد بالاتری را به دامنههایی با سابقه مثبت و سابقه استفاده قانونی اختصاص میدهند. در نتیجه، فعالیتهای مخربی که تحت این دامنهها انجام میشوند، شانس بیشتری برای شناسایی نشدن یا بدخیم شدن توسط سیستمهای امنیتی خودکار دارند.»
علاوه بر این، مهاجم پشت آخرین عملیات به سایتهایی که نه تنها مجنتو بلکه نرمافزارهای دیگری مانند WooCommerce، Shopify و WordPress را اجرا میکنند نیز حمله کرده است.
رویکردی متفاوت، نتیجه یکسان
رومن لووفسکی، محقق Akamai در این پست وبلاگ نوشت: «یکی از قابل توجهترین بخشهای کمپین، روشی است که مهاجمان زیرساخت خود را برای اجرای کمپین جستجوی وب راهاندازی کردند. قبل از اینکه کمپین به طور جدی شروع شود، مهاجمان به دنبال وبسایتهای آسیبپذیر میگردند تا بهعنوان «میزبان» کد مخربی که بعداً برای ایجاد حمله اسکیمینگ وب استفاده میشود، عمل کنند.»
تجزیه و تحلیل Akamai از کمپین نشان داد که مهاجم از ترفندهای متعددی برای مخفی کردن فعالیت های مخرب استفاده می کند. به عنوان مثال، به جای تزریق مستقیم اسکیمر به یک وب سایت هدف، Akamai متوجه شد که مهاجم یک قطعه کد کوچک جاوا اسکریپت را به صفحات وب خود تزریق می کند که سپس اسکیمر مخرب را از یک وب سایت میزبان دریافت می کند.
مهاجم لودر جاوا اسکریپت را طوری طراحی کرد که شبیه گوگل تگ منیجر، کد رهگیری پیکسل فیس بوک و سایر سرویس های شخص ثالث قانونی باشد، بنابراین تشخیص آن سخت می شود. اپراتور کمپین مشابه Magecart در حال انجام، همچنین از رمزگذاری Base64 برای مبهم کردن URL های وب سایت های آسیب دیده میزبان اسکیمر استفاده کرده است.
لووفسکی نوشت: «فرایند استخراج دادههای دزدیده شده از طریق یک درخواست ساده HTTP، که با ایجاد یک برچسب IMG در کد اسکیمر آغاز میشود، اجرا میشود. سپس داده های دزدیده شده به عنوان پارامترهای پرس و جو به درخواست اضافه می شوند و به عنوان رشته Base64 کدگذاری می شوند.
به عنوان یک جزئیات پیچیده، Akamai همچنین کدی را در بدافزار اسکیمر پیدا کرد که تضمین میکرد کارت اعتباری و اطلاعات شخصی یکسان را دو بار به سرقت نبرد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- : دارد
- :است
- :نه
- $UP
- 200
- 2022
- 9
- a
- مطابق
- عمل
- فعالیت ها
- فعالیت
- اضافه
- مزایای
- مستقیم Akamai
- قبلا
- همچنین
- an
- تحلیل
- و
- روش
- AS
- At
- حمله
- هجوم بردن
- حمله
- استرالیا
- خودکار
- شود
- بوده
- قبل از
- پشت سر
- بودن
- بلاگ
- برزیل
- ساخته
- اما
- by
- کمپین بین المللی حقوق بشر
- CAN
- کارت
- کارت ها
- شانس
- وارسی
- رمز
- Collective - Dubai Hills Estate
- اجزاء
- در معرض خطر
- رفتار
- انجام
- کشور
- ایجاد
- ایجاد
- اعتبار
- کارت اعتباری
- کارت های اعتباری
- حملات سایبری
- مجرم سایبری
- خطرناک
- داده ها
- تحویل
- طراحی
- جزئیات
- DID
- مختلف
- مستقیما
- توزیع کردن
- دامنه
- حوزه
- دو برابر
- تجارت الکترونیک
- پایان
- وارد
- استونی
- اتر (ETH)
- مثال
- اجرا شده
- فیس بوک
- بسیار
- وصله
- برای
- یافت
- از جانب
- رفتن
- گوگل
- گروه ها
- سخت
- آیا
- بالاتر
- تاریخ
- میزبان
- میزبانی وب
- میزبان
- HTTP
- HTTPS
- in
- از جمله
- افزایش
- اطلاعات
- شالوده
- ذاتی
- تزریق کنید
- در عوض
- به
- گرفتار
- IT
- ITS
- جاوا اسکریپت
- JPG
- تنها
- نوع
- شناخته شده
- نام
- پارسال
- بعد
- آخرین
- کمترین
- قانونی
- سطح
- پسندیدن
- بارکننده
- نگاه کنيد
- شبیه
- باعث می شود
- ساخت
- نرم افزارهای مخرب
- مدیر
- بسیاری
- میلیون ها نفر
- ماه
- بیش
- اکثر
- چندگانه
- جدید
- قابل توجه
- عدد
- تعداد
- of
- on
- ONE
- مداوم
- آنلاین
- باز کن
- منبع باز
- عمل
- اپراتور
- or
- دیگر
- روی
- با ما
- پارامترهای
- بخش
- گذشته
- پرداخت
- مردم
- شخصی
- شخصا
- پرو
- پی
- پیکسل
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- مثبت
- پست
- بالقوه
- در درجه اول
- اصلی
- قبلا
- روند
- خرید
- رکورد
- باقی مانده است
- دور
- درخواست
- پژوهشگر
- محققان
- نتیجه
- در حال اجرا
- s
- سعید
- همان
- به ثمر رساندن
- تیم امنیت لاتاری
- سیستم های امنیتی
- به دنبال
- ارسال
- حساس
- خدمات
- تنظیم
- چند
- Shopify
- خريد كردن
- نشان داد
- سایت
- کفگیرها
- اسکن کردن
- کمی متفاوت
- کوچک
- So
- تا حالا
- نرم افزار
- مصنوعی
- منبع
- اسپانیا
- Spot
- شروع
- به سرقت رفته
- ساده
- رشته
- چنین
- سیستم های
- TAG
- هدف
- هدف قرار
- ده ها
- که
- La
- سرقت
- شان
- آنها
- سپس
- اینها
- آنها
- شخص ثالث
- این
- هزاران نفر
- تهدید
- از طریق
- زمان
- به
- مسیر
- انتقالها
- پیگردی
- اعتماد
- دو برابر
- نوعی
- به طور معمول
- Uk
- زیر
- ناشناخته
- us
- استفاده کنید
- استفاده
- کاربران
- با استفاده از
- با استفاده از
- آسیب پذیری ها
- آسیب پذیر
- مسیر..
- راه
- وب
- سایت اینترنتی
- وب سایت
- چه زمانی
- که
- WHO
- اراده
- با
- در داخل
- وردپرس
- در سرتاسر جهان
- سال
- سال
- زفیرنت
