نفوذگران به Magento از پنهان‌نگاری برای سرقت داده‌های کارت پرداخت استفاده می‌کنند

۱نفوذگران در حال جمع‌آوری داده‌های کارت‌های پرداخت فروشگاه‌های Magento هستند. آن‌ها از روش مخفی کردن داده‌های به سرقت‌رفته در داخل تصاویر JPG که از وب‌گاه‌های آلوده بدون هیچ عملیات مشکوکی قابل بارگیری است، استفاده می‌کنند.

در طول سال گذشته، مهاجمان توجه خود را به سمت بسترهای تجارت الکترونیک برخط منتقل کرده‌اند که زمینه مناسبی برای جمع‌آوری اطلاعات کارت‌های اعتباری است. در بسیاری از موارد نیز، آن‌ها بعد از نفوذ، داده‌های به سرقت‌رفته را در بازارهای زیرزمینی به فروش می‌رسانند.
بیش از ۵۷۰۰ وب‌گاه در حال حاضر با بدافزار آلوده شده‌اند و بیش از ۱۰۰ مورد از این وب‌گاه‌های آلوده با بدافزار به تازگی کشف‌شده‌ی MageCart آلوده شده‌اند. نفوذ به وب‌گاه‌های تجارت الکترونیک به یک روش معمول در ماه های اخیر تبدیل شده است.

بدافزار Magento به سمت پنهان‌نگاری حرکت می‌کند
شرکت Sucuri یک شرکت امنیتی آمریکایی می‌گوید یک هفته بدون کشف یک بدافزار جدیدِ سارق اطلاعات کارت پرداخت توسط محققان امنیتی ما سپری نمی‌شود.
این شرکت در توضیح جزئیات این بدافزارها می‌گوید، انواع مختلفی از آن‌ها برای خارج کردن اطلاعات سرقت‌شده، از پنهان‌نگاری۱ استفاده می‌کنند.
پنهان‌نگاری روش پنهان کردن داده‌های متنی در داخل کد منبع یک تصویر است. این روش در بین گروه‌های نفوذ روش معمولی نیست چرا که قرار دادن متن در داخل کد منبع یک تصویر بدون اینکه پرونده‌ی تصویر واقعی خراب شود، کاری فوق‌العاده دشوار است.
یک محقق امنیتی با باز کردن یک پرونده به راحتی چیزی عجیب را شناسایی کرده و تصویر را در داخل یک ویرایشگر متن بررسی می‌کند. به این دلیل، تعداد بسیار کمی از مهاجمان از این روش استفاده می‌کنند.

آلودگی به بدافزار با پرونده‌ی Cc.php اتفاق می‌افتد
Sucuri می‎گوید در فروشگاه Magento که توسط مهاجمان در معرض خطر قرار گرفت و پرونده‌های اصلی سامانه‌ی مدیریت محتوا تغییر یافت، پرونده‌ی Cc.php مدیریت سرقت داده‌های کارت‌های پرداخت را انجام می‌داد.
مهاجمان کدهای اضافی به این پرونده افزودند که اطلاعات کارت‌های پرداخت را که کاربران در فرم‌ها وارد می‌کردند را ثبت کرده و در انتهای یک پرونده‌ی تصویری محلی ذخیره می‌کرد.

چیز عجیبی که در این نمونه وجود دارد این است که جزئیات تعداد زیادی از کارت‌های پرداخت را در داخل یک تصویر بدون تغییر محتوای آن چپانده‌اند.
در حالی‌که مهاجمانی که می‌خواهند از پنهان‌نگاری استفاده کنند، برای اینکه حین افزودن اطلاعات باعث خرابی پرونده‌ی اصلی نشوند، یک تصویر ساده را انتخاب می‌کنند. در این نمونه مهاجم یک تصویر با وضوح بسیار بالا را تغییر داده که در اکثر موارد به راحتی می‌تواند افتضاح به بار آورد.

تصویر مورد نظر شبیه به تصویر سایر محصولات است
بن مارتین۲ از Sucuri توضیح می‌دهد: «مسئله‌ی جالب توجه اینجاست که این تصویر استفاده‌شده مربوط به تصاویر کالاهایی است که در وب‌گاه قربانی به فروش می‌رسد. اگر صاحب فروشگاه آدمی باشد که مدام همه چیز را بررسی می‌کند، به سراغ این تصاویر رفته و بررسی می‌کند که آیا این تصاویر به‌درستی کار می‌کنند یا خیر.»
در این لحظه، مهاجم تنها به این تصویر دسترسی دارد، آن را بارگیری کرده و داده‌های مخفی‌شده در کد منبع تصویر JPG را استخراج می‌کند.

اگر صاحب وب‌گاه رویدادهای نام را بررسی کرده و متوجه فعالیت مشکوکی شود، او مشاهده خواهد کرد که دیگر بازدیدکنندگان وب‌گاه، تصاویر دیگری را بارگیری می‌کنند که این اتفاق برای یک فروشگاه‌ هزارارن بار در عرض یک ساعت اتفاق می‌افتد.
نفوذگران به Magento از پنهان‌نگاری در زمستان سال قبل نیز استفاده کرده بودند زمانی که آن‌ها از چنین روشی استفاده کردند تا داده‌های کارت‌های پرداخت ِ به سرقت‌رفته را خارج نمایید. آن‌ها این وب‌گاه‌ها را آلوده کرده و مدیر وب‌گاه را به‌گونه‌ای فریب داده بودند که فکر می‌کرد در حال اجرای یک نسخه‌ی به‌روزرسانی است.

۱. Steganography
۲. Ben Martin

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap