حملة هجوم سرقة بيانات الويب
كشف باحثو الأمن السيبراني عن حملة سرقة بيانات بطاقات الائتمان عبر الإنترنت واسعة النطاق، والتي لا تزال نشطة منذ يناير 2022. تستهدف هذه العملية المؤسسات التي تعتمد على شبكات الدفع الرئيسية، بما في ذلك أمريكان إكسبريس، وداينرز كلوب، وديسكوفر، وجيه سي بي، وماستركارد، ويونيون باي. وتُعتبر الشركات التي تُدمج خدمات الدفع هذه في أنظمة الدفع الإلكتروني الخاصة بها الأكثر عرضة للخطر.
جدول المحتويات
التصفح الرقمي وتطور ماجيكارت
تُعدّ هجمات الاحتيال الرقمي شكلاً من أشكال اختراق أجهزة المستخدمين، حيث يقوم المهاجمون بحقن شيفرة جافا سكريبت خبيثة في مواقع التجارة الإلكترونية وبوابات الدفع المشروعة. تقوم هذه الشيفرة المحقونة بجمع بيانات بطاقات الائتمان والمعلومات الشخصية خلسةً أثناء إدخال العملاء لتفاصيل الدفع.
يندرج هذا النشاط ضمن الفئة الأوسع المعروفة باسم "ماجيكارت". كان المصطلح في الأصل يصف مجموعة غير منظمة من جماعات الجرائم الإلكترونية التي تركز على مواقع التجارة الإلكترونية القائمة على منصة ماجنتو، ولكنه توسع منذ ذلك الحين ليشمل عمليات الاحتيال عبر العديد من المنصات والتقنيات.
البنية التحتية المرتبطة بالتهرب من العقوبات
تم اكتشاف الحملة خلال تحقيق في نطاق مشبوه مرتبط بشركة ستارك إندستريز، وهي شركة استضافة مواقع إلكترونية مُحصّنة ضد العقوبات. وقد قامت الشركة الأم، بي كيو.هوستينغ، لاحقًا بتغيير اسم الخدمة إلى ذا.هوستينغ، والتي تُشغّلها الآن شركة وورك تايتنز بي في الهولندية، وذلك على ما يبدو كوسيلة للتهرب من العقوبات.
تم العثور على النطاق cdn-cookie(dot)com وهو يستضيف ملفات جافا سكريبت مشوشة للغاية مثل 'recorder.js' و 'tab-gtm.js'. تم تضمين هذه البرامج النصية في متاجر إلكترونية مخترقة، حيث مكنتها من سرقة بيانات بطاقات الائتمان بشكل سري.
التخفي من خلال التدمير الذاتي والوعي البيئي
صُمم برنامج التجسس هذا ليتجنب اكتشافه من قِبل مديري المواقع. فهو يفحص نموذج كائن المستند بحثًا عن عنصر "wpadminbar"، وهو عنصر شريط أدوات يظهر عند تسجيل دخول مديري ووردبريس أو المستخدمين ذوي الصلاحيات. إذا تم اكتشاف هذا العنصر، يقوم البرنامج الخبيث فورًا بتفعيل إجراء إزالة ذاتية، فيحذف نفسه من الصفحة.
للحفاظ على استمرارية التصفح العادي، يحاول برنامج التصفح السريع التنفيذ في كل مرة يتغير فيها نموذج كائن المستند (DOM) للصفحة، وهو أمر شائع الحدوث أثناء تفاعل المستخدم مع مواقع الويب الحديثة.
تسليح الشريط من خلال التلاعب بالواجهة
يحتوي الكود الخبيث على منطق مُصمم خصيصًا لاستغلال عمليات الدفع عبر Stripe. عند اختيار Stripe، يتحقق البرنامج من وجود سجل في التخزين المحلي باسم 'wc_cart_hash'. إذا لم يكن موجودًا، يقوم بإنشاء المفتاح ويستعد لجمع البيانات.
عند هذه النقطة، يقوم البرنامج الخبيث باستبدال نموذج الدفع الأصلي من Stripe بنموذج مزيف. ومن خلال التلاعب الدقيق بواجهة المستخدم، يتم خداع الضحايا لإدخال رقم بطاقتهم وتاريخ انتهاء صلاحيتها ورمز التحقق (CVC) في النموذج المزيف.
بعد الإرسال، تعرض الصفحة رسالة خطأ، مما يجعل الأمر يبدو كما لو أن عملية الدفع فشلت بسبب معلومات غير صحيحة بدلاً من تدخل خبيث.
سرقة البيانات، واستخراجها، وتنظيفها
تتجاوز المعلومات المسروقة تفاصيل بطاقة الدفع لتشمل الأسماء الكاملة وأرقام الهواتف وعناوين البريد الإلكتروني وعناوين الشحن. يقوم جهاز التجسس بنقل هذه البيانات عبر طلب HTTP POST إلى موقع lasorie.com.
بمجرد اكتمال عملية استخراج البيانات، يقوم البرنامج الخبيث بإزالة النموذج المزيف، واستعادة واجهة Stripe الأصلية، وحذف آثار نشاطه من صفحة الدفع. ثم يقوم بتعيين قيمة 'wc_cart_hash' إلى 'true'، مما يضمن عدم تشغيل برنامج التجسس مرة أخرى لنفس الضحية.
سلسلة هجمات مبنية على معرفة عميقة بالمنصة
يشير الباحثون إلى أن المهاجم يُظهر فهمًا متقدمًا لآليات عمل ووردبريس الداخلية، ويستغل حتى ميزات المنصة الأقل شهرة كجزء من عملية الهجوم. هذا العمق المعرفي، إلى جانب تقنيات التهرب والتلاعب بالواجهة المتطورة، يؤكد نضج العملية واستمراريتها.
