محققین نے میجکارٹ کارڈ سکیمنگ مہم کی ایک مختلف قسم کی نشاندہی کی۔

محققین نے میجکارٹ کارڈ سکیمنگ مہم کی ایک مختلف قسم کی نشاندہی کی۔

ٹائم سٹیمپ: 6 جون 2023 دوپہر 5:55 بجے
ماخذ نوڈ: 2704378

Magecart چھتری کے نیچے ایک حملہ آور نے امریکہ، برطانیہ اور پانچ دیگر ممالک میں نامعلوم تعداد میں ای کامرس سائٹس کو ان سائٹس پر خریداری کرنے والے لوگوں سے تعلق رکھنے والے کریڈٹ کارڈ نمبروں اور ذاتی طور پر قابل شناخت معلومات (PII) کو سکیم کرنے کے لیے میلویئر سے متاثر کیا ہے۔ لیکن ایک نئی شکن میں، دھمکی دینے والا اداکار کارڈ سکیمنگ میلویئر کو دیگر ٹارگٹ سائٹس تک پہنچانے کے لیے میزبان کے طور پر وہی سائٹس استعمال کر رہا ہے۔

اکامائی کے محققین جنہوں نے جاری مہم کو دیکھا کہ یہ نہ صرف مہم کو میجکارٹ کی سابقہ ​​سرگرمی سے مختلف بناتا ہے بلکہ یہ بہت زیادہ خطرناک بھی ہے۔

ان کا اندازہ ہے کہ سائبر حملے کم از کم ایک ماہ سے جاری ہیں اور اس سے پہلے ہی دسیوں ہزار افراد متاثر ہو چکے ہیں۔ اکامائی نے کہا کہ امریکہ اور برطانیہ کے علاوہ اس نے برازیل، اسپین، ایسٹونیا، آسٹریلیا اور پیرو میں مہم سے متاثر ہونے والی ویب سائٹس کو دیکھا ہے۔

ادائیگی کارڈ کی چوری اور مزید: ایک دوہرا سمجھوتہ

Magecart آن لائن ادائیگی کارڈ سکیمنگ حملوں میں ملوث سائبر کرائمین گروپوں کا ایک ڈھیلا مجموعہ ہے۔ پچھلے کئی سالوں کے دوران، ان گروپوں نے دنیا بھر میں دسیوں ہزار سائٹس میں اپنے نام کے کارڈ سکیمرز کو انجیکشن لگایا ہے — بشمول سائٹس جیسے کہ ٹکٹ ماسٹر اور برٹش ایئر ویز اور ان سے لاکھوں کریڈٹ کارڈز چوری کیے، جن سے انھوں نے مختلف طریقوں سے رقم کمائی۔ 

اکامائی نے پچھلے سال 9,200 ای کامرس سائٹس پر میجکارٹ حملوں کو شمار کیا، جن میں سے 2,468 کے آخر تک 2022 متاثر رہے۔

عام طریقہ کار ان گروپوں کے لیے خفیہ طور پر جائز ای کامرس سائٹس — یا تیسرے فریق کے اجزاء جیسے ٹریکرز اور شاپنگ کارٹس — میں نقصان دہ کوڈ ڈالنا رہا ہے — جسے سائٹیں معلوم کمزوریوں کا فائدہ اٹھا کر استعمال کرتی ہیں۔ جب صارفین سمجھوتہ شدہ ویب سائٹس کے چیک آؤٹ پیج پر کریڈٹ کارڈ کی معلومات اور دیگر حساس ڈیٹا داخل کرتے ہیں، تو سکیمرز خاموشی سے ڈیٹا کو روکتے ہیں اور اسے ریموٹ سرور پر بھیج دیتے ہیں۔ ابھی تک، حملہ آوروں نے میگیکارٹ حملوں میں بنیادی طور پر اوپن سورس میگینٹو ای کامرس پلیٹ فارم چلانے والی سائٹوں کو نشانہ بنایا ہے۔

تازہ ترین مہم اس لحاظ سے قدرے مختلف ہے کہ حملہ آور نہ صرف ٹارگٹ سائٹس میں Magecart کارڈ سکیمر کا انجیکشن لگا رہا ہے بلکہ ان میں سے بہت سے لوگوں کو ہائی جیک کر کے نقصان دہ کوڈ تقسیم کر رہا ہے۔ 

اکامائی تجزیہ کے مطابق، "جائز ویب سائٹ ڈومینز کو استعمال کرنے کا ایک بنیادی فائدہ موروثی اعتماد ہے جو ان ڈومینز نے وقت کے ساتھ بنایا ہے۔" "سیکیورٹی سروسز اور ڈومین اسکورنگ سسٹمز عام طور پر مثبت ٹریک ریکارڈ اور جائز استعمال کی تاریخ والے ڈومینز کو اعلیٰ اعتماد کی سطحیں تفویض کرتے ہیں۔ نتیجے کے طور پر، ان ڈومینز کے تحت کی جانے والی بدنیتی پر مبنی سرگرمیوں کا پتہ نہ لگنے یا خودکار سیکیورٹی سسٹمز کے ذریعے ان کے ساتھ حسن سلوک کیے جانے کے امکانات بڑھ جاتے ہیں۔"

اس کے علاوہ، تازہ ترین کارروائی کے پیچھے حملہ آور نہ صرف Magento بلکہ دیگر سافٹ ویئر، جیسے WooCommerce، Shopify، اور WordPress چلانے والی سائٹوں پر بھی حملہ کر رہا ہے۔

ایک مختلف نقطہ نظر، ایک ہی نتیجہ

اکامائی کے محقق رومن لیووسکی نے بلاگ پوسٹ میں لکھا، "مہم کے سب سے قابل ذکر حصوں میں سے ایک یہ ہے کہ حملہ آوروں نے ویب سکیمنگ مہم کو چلانے کے لیے اپنا بنیادی ڈھانچہ ترتیب دیا۔" "اس سے پہلے کہ مہم بھرپور طریقے سے شروع ہو، حملہ آور اس نقصاندہ کوڈ کے لیے 'میزبان' کے طور پر کام کرنے کے لیے کمزور ویب سائٹس کی تلاش کریں گے جو بعد میں ویب سکمنگ اٹیک بنانے کے لیے استعمال کیا جاتا ہے۔"

مہم کے بارے میں اکامائی کے تجزیے نے حملہ آور کو بدنیتی پر مبنی سرگرمی کو مبہم کرنے کے لیے متعدد حربے استعمال کرتے ہوئے دکھایا۔ مثال کے طور پر، اسکیمر کو براہ راست کسی ہدف کی ویب سائٹ میں انجیکشن لگانے کے بجائے، اکامائی نے حملہ آور کو اپنے ویب پیجز میں جاوا اسکرپٹ کوڈ کا ایک چھوٹا ٹکڑا لگاتے ہوئے پایا جس نے پھر میزبان ویب سائٹ سے بدنیتی پر مبنی اسکیمر حاصل کیا۔ 

حملہ آور نے جاوا اسکرپٹ لوڈر کو گوگل ٹیگ مینیجر، فیس بک پکسل ٹریکنگ کوڈ، اور دیگر جائز تھرڈ پارٹی سروسز جیسا نظر آنے کے لیے ڈیزائن کیا، اس لیے اسے تلاش کرنا مشکل ہو جاتا ہے۔ جاری میجکارٹ جیسی مہم کا آپریٹر بھی سکیمر کی میزبانی کرنے والی سمجھوتہ شدہ ویب سائٹس کے یو آر ایل کو مبہم کرنے کے لیے بیس 64 انکوڈنگ کا استعمال کر رہا ہے۔ 

"چوری شدہ ڈیٹا کو نکالنے کا عمل ایک سیدھی سیدھی HTTP درخواست کے ذریعے عمل میں لایا جاتا ہے، جس کا آغاز سکیمر کوڈ کے اندر ایک IMG ٹیگ بنا کر کیا جاتا ہے،" Lvovsky نے لکھا۔ "چوری شدہ ڈیٹا کو اس کے بعد استفسار کے پیرامیٹرز کے طور پر درخواست میں شامل کیا جاتا ہے، جسے بیس 64 سٹرنگ کے طور پر انکوڈ کیا جاتا ہے۔"

ایک نفیس تفصیل کے طور پر، اکامائی کو سکیمر میلویئر میں کوڈ بھی ملا جس سے اس بات کو یقینی بنایا گیا کہ اس نے ایک ہی کریڈٹ کارڈ اور ذاتی معلومات کو دو بار چوری نہیں کیا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا