آلودگی بیش از ۱۰۰ فروشگاه برخط به بدافزار جدید Magecart

۲۰بیش از ۱۰۰ فروشگاه برخط مورد آماج حملات گونه‌ی تازه‌ای از بدافزارهای تحت وب واقع شده که Magecart نام دارد، این بدافزار به‌طور مخفیانه اطلاعات واردشده به صفحات پرداخت را دزدیده و آن‌ها را به کارگزار نفوذگر می‌فرستد.
نخستین نشانه‌های این بدافزار در ماه مارس ۲۰۱۶ رؤیت شد، اما فعالیت‌های آن در ماه می توجه محققان را جلب کرد، درست زمانی که برای اولین بار این آلودگی در فروشگاه‌های برخط محبوب منتشر شد.
در اواخر ژوئن ۲۰۱۶، سوکوری با یک گونه‌ از Magecart برخورد کرد که بنا به گزارش‌های Softpedia فروشگاه‌های Magento را هدف قرار داده بود؛ فروشگاه‌های Magento از افزونه‌ی Braintree Magento برای پشتیبانی از پرداخت‌ها از طریق بستر Braintree استفاده می‌کند.

Magecart می‌تواند سامانه‌های مدیریت محتوای تجارت الکترونیک را هدف قرار دهد
در واقع، این تنها یک جنبه از حمله‌ی Magecart بود، که شرکت‌هایی مانند ClearSky و RiskIQ در چندین بستر خرید برخط به پی‌گیری آن پرداخته‌اند.
از ماه مارس گروه پشت پرده‌ی کمپین Magecart قابلیت‌های خود را افزایش داده‌ است، اسکریپت‌های مخرب خود را به منظور اجرا در سراسر سامانه‌هایی همچون Magento ،OpenCart، و Powerfront اصلاح نموده است.
این بدافزار چیزی بیش از یک پرونده‌‌ی جاوااسکریپت نیست که به کد منبع وب‌گاه تحت نفوذ اضافه شده است. این اتفاق زمانی می‌افتد که نفوذگر از یک آسیب‌پذیری در سامانه‌ی مدیریت محتوا یا خود کارگزار سوءاستفاده کند. هرگاه نفوذگر به بستر مدیریت محتوا یا کارگزار زیرساخت آن دسترسی داشته باشد، کد مخرب خود را به کد منبع وب‌گاه می‌افزاید.

Magecart فقط در صفحات پرداخت فعال می‌شود
آلودگی‌های Magecart در دو مرحله اتفاق می‌افتند؛ در گام او اسکرپیت مورد نظر بررسی می‌کند که آیا کاربر در صفحه‌ی پرداخت قرار دارد یا خیر. فقط وقتی که کاربر به URL مخصوص صفحه‌ی پرداخت هر سامانه دست پیدا می‌کند، اسکریپت Magecart به مرحله‌ی دوم وارد می‌گردد، جایی که مؤلفه‌ی کی‌لاگر واقعی را بارگذاری می‌نماید.
اسکریپت Magecart شامل یک فروشگاه تجارت الکترونیک زنده است.
این مؤلفه‌ی مرحله‌ی دوم یک اسکریپت JS دیگر است، بدین معنا که از هرآن‌چه که کاربر در فیلدهای فرم وارد کند گزارش تهیه کرده و داده‌های جمع‌آوری‌شده را به یک کارگزار راه دور تحت کنترل نفوذگر می‌فرستد.
این اسکریپت‌ها از دامنه‌های بارگذاری می‌شوند که آلودگی آن‌ها متفاوت است، به این معنا که کلاه‌برداران سایبری می‌دانند که چگونه بایست ردپای خود را مخفی نگه دارند. تمامی اسکرپیت‌ها به وسیله‌ی HTTPS بارشده و داده‌ها تیز توسط HTTPS فیلتر می‌شوند.
در مواردی که فرم پرداخت تمامی اطلاعات مورد نظر نفوذگر را گردآوری نمی‌کند، Magecart می‌تواند فیلدهای ورودی را به فرم پرداخت وب‌گاه اضافه کند تا به این روش همه‌ی داده‌های مد نظر نفوذگر جمع‌آوری شود.

بیش از ۱۰۰ فروشگاه تحت تأثیر این بدافزار قرار گرفته‌اند
RiskIQ می‌گوید که Magecart می‌تواند داده‌هایی را از فروشگاه‌های برخطی برباید که خودشان مسئول رسیدگی به عملیات‌ پردازش پرداختشان هستند، یا فروشگاه‌هایی که این پردازش را به ساز و کارهای تخصصی پرداخت می‌سپارند.
RiskIQ می‌گوید که Magecart قادر بوده اطلاعات مندرج در کارت اعتباری را از وب‌گاه‌هایی به سرقت ببرد که از افزونه‌ی Braintree Magento استفاده می‌کنند یا پرداخت‌ها را به وسیله‌ی VeriSign مدیریت می‌نمایند.
بعضی از مهم‌ترین شرکت‌های محبوب که از آلودگی فروشگاه‌های برخطشان به Magecart آسیب‌ دیده‌اند شامل Everlast و Faber & Faber است.
راحت‌ترین راه برای حفاظت مقابل آلودگی‌های ناشی از Magecart استفاده از اطلاعات محرمانه‌ و پیچیده‌ی مدیر وب‌گاه و نیز به‌روز نگه داشتن کارگزار و نرم‌افزار مدیریت محتواست.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.