احذروا من برمجيات خبيثة مكتشفة حديثاً على الويب قادرة على الاختباء بسهولة داخل المتاجر الالكترونية المخترقة، وتهدف إلى سرقة بيانات اعتماد بطاقات الدفع الخاصة بالمستخدم.
قد يقوم المهاجمون بإخفاء هذه الحمولات الضارة على شكل أزرار المشاركة الخاصة بمواقع التواصل الاجتماعي والتي تحاكي المنصات البارزة مثل فيسبوك وتويتر وانستغرام، أو على شكل كاشطات بطاقات الائتمان.
كاشطات بطاقات الائتمان عبارة عن نصوص برمجية تستند إلى JavaScript، يتم حقنها في صفحات الخروج الخاصة بمواقع التجارة الإلكترونية المخترقة من قبل مجموعات Magecart الخبيثة والمسؤولة عن الجرائم الإلكترونية.
وبمجرد تحميلها في المتاجر المستهدفة، تقوم البرامج النصية تلقائياً بجمع معلومات الدفع والمعلومات الشخصية التي يرسلها العملاء وتسربها إلى الخوادم الخاضعة لسيطرة Magecart.
برمجيات خبيثة تتهرب من الماسحات الأمنية
تم اكتشاف البرمجيات الخبيثة الجديدة من قبل شركة الأمن السيبراني الهولندية Sansec، والتي تعمل على حماية مواقع التجارة الإلكترونية من الهجمات الرقمية الاحتيالية (المعروفة أيضاً باسم Magecart).
وتقوم البرمجيات الخبيثة بإخفاء كود النص البرمجي للكاشطة التي تسرق بطاقات ائتمان العملاء داخل أيقونة “المشاركة” التي يتم تحميلها كعنصر “HTML” svg. وبذلك يمكن إخفاء الكود المصدري للكاشطة داخل حاوية على شكل منصات الوسائط الاجتماعية (على سبيل المثال ، facebook_full و twitter_full و instagram_full و youtube_full و pinterest_full و google_full).
هذا ويتم استخدام وحدة فك ترميز خاصة يتم نشرها بشكل منفصل في مكان ما على خادم موقع التجارة الإلكترونية، تسمح للمهاجمين باستخراج رمز سرقة بطاقة الائتمان.
يزيد هذا الأسلوب من فرص تهرب البرمجيات الخبيثة من الماسحات الأمنية نظراً لأن أداة تحميل البرامج الضارة ليست مخزنة في نفس الموقع مع حمولة الكاشطة، كما جرت العادة، مما لا يسمح للأنظمة الأمنية برصدها في التحليل السطحي.
تجدر الإشارة إلى أنه تم اكتشاف برامج ضارة مماثلة تستخدم تقنية التحميل المبتكرة هذه لمرة الأولى في يونيو 2020، ولكنها لم تكن متطورة وغير شائعة. ويبدو أن المهاجمين قد قاموا مؤخراً بتطوير هذه الاستراتيجية في زرع البرمجيات الخبيثة في محاولة ذكية لسرقة بيانات اعتماد بطاقات الائتمان، والتي تسمح لهم لاحقاً بسرقة الأموال أو التصرف بها كما يحلو لهم تحقيقاً لمآرب سيئة أخرى.
