اسکیمر نرمافزاری کارت اعتباری چند پلتفرمی در برخی از افزونههای فروشگاهی آنلاین
کارشناسان امنیت سایبری، از مشاهده یک اسکیمر نرمافزاری کارت اعتباری چندپلتفرمی خبر میدهند که به مهاجمان اجازه میدهد اطلاعات مربوط به پرداخت را در فروشگاههای اینترنتی در معرض خطر، که توسط افزونههای Shopify، BigCommerce، Zencart و Woocommerce پیادهسازی شدهاند، بهدست آورند. محققان امنیتی Sansec، مشاهده کردهاند که این اسکیمر جدید، قادر به برقراری تعامل با مراحل و روند پرداخت در فروشگاههایی است که در آنها از افزونههای نام برده شده جهت مدیریت سیستم فروشگاه آنلاین استفاده شده است.
همچنین این نرمافزار میتواند فروشگاههای اینترنتی را که با BigCommerce و Shopify کار میکنند ، هدف قرار دهد. در واقع این نرمافزار یک فرم پرداخت جعلی را به کاربر نشان میدهد که این فرم برای ضبط کلیدهای وارد شده توسط مشتری قبل از ورود به صفحه واقعی پرداخت طراحی شده است.
افزونههای میزبانی صفحات فروشگاهی مانند BigCommerce و Shopify، به طور پیشفرض اجازه اجرای کد Javascript سفارشی شده در صفحات پرداخت را نمیدهند. این نرمافزار با نشان دادن یک فرم پرداخت جعلی و ضبط کلیدهای وارد شدهی مشتری قبل از ورود به صفحه اصلي پرداخت، این مانع را دور میزند. پس از رهگیری دادهها و اطلاعات کاربر، اسکیمر پیغام خطایی را نشان میدهد و مشتری به صفحه پرداخت اصلی هدایت میشود.
هنگامی که مشتریان اطلاعات کارت اعتباری خود را ارائه دهند، نرمافزارخطایی را به کاربر نمایش داده و مشتریان را به صفحه اصلی پرداخت هدایت میکند تا از ایجاد سوءظن جلوگیری کند.
این مورد امنیتی به دلیل اینکه بسیاری از افزونههای مختلف را هدف قرار داده است، دارای اهمیت بالایی است، زیرا ممکن است مهاجمان موارد مشترک را مورد تهاجم قرار دهند.
همچنین، کارشناسان مطرح کردهاند که این اسکیمر چند پلتفرمی، از دامنههایی که توسط برنامه با استفاده از کدگذاری base64 برای تولید یک نام دامنه جدید استفاده میشود، برای شکستن فیلترها و موانع استفاده کردهاند.
مانند موارد زیر:
• zg9tywlubmftzw5ldza.com
• zg9tywlubmftzw5ldze.com
• zg9tywlubmftzw5ldzu.com
• zg9tywlubmftzw5ldzq.com
• zg9tywlubmftzw5ldzm.com
• zg9tywlubmftzw5ldzy.com
• zg9tywlubmftzw5ldzi.com
• zg9tywlubmftzw5ldzg.com
اولین مورد این دامنهها در تاریخ ۳۱ آگوست سال ۲۰۲۰ به ثبت رسید.
Sansec در این خصوص اين نتیجه گیری را مطرح كرده است كه: "به طور خلاصه، این مورد نشان میدهد که نوع افزونهاي كه با استفاده از آن، فروشگاههای آنلاين پیادهسازی شدهاند، هیچ محدودیتی در کلاهبرداری به روش اسکیم آنلاین ندارد، و هر کجا که مشتریان جزئیات واطلاعات پرداخت خود را وارد کنند، در معرض خطر قرار میگیرند."
محققان Sansec چندین کمپین Magecart را که از تکنیکهای جدید دور زدن موانع استفاده میکردند، رصد کردهاست. در اوایل ماه دسامبر، آنها کمپینی را کشف کردند که برای ورود به سیستم، بدافزار را در پروندههای CSS مخفی میکرد.
کارشناسان چندین روش حمله Magecart را در ماههای گذشته مورد تجزیه و تحلیل قرار دادند، که در آنها مهاجمان با پنهان کردن کد مخرب در چندین مؤلفه سایت، از جمله تصاویر و فاکتورها، وب سایتها را به خطر میانداختند.
منبع: https://securityaffairs.co/wordpress/112713/hacking/multi-platform-card-skimmer.html