- يجد الخبراء مقشدة بطاقة الائتمان مخفية في صورة SVG 1×1
- قام تراكب “الدفع الآمن” المزيف بسرقة بيانات البطاقة
- من المحتمل أنه تم استغلال عيب Magento PolyShell، مما أثر على العديد من المتاجر
اكتشف باحثون أمنيون مؤخرًا أداة كاشطة لبطاقات الائتمان في ما يقرب من مائة موقع للتجارة الإلكترونية مختبئة في صورة صغيرة.
أبلغ خبراء من Sansec عن العثور على عناصر رسومات متجهة قابلة للتحجيم (SVG) مقاس 1 × 1 بكسل باستخدام معالج “onload” داخل HTML للعديد من مواقع التجارة الإلكترونية.
قال الباحثون: “يحتوي معالج التحميل على حمولة الكاشطة بأكملها، والمشفرة بـ base64 داخل استدعاء atob() ويتم تنفيذها عبر setTimeout”. وأوضحوا أنه باستخدام هذه التقنية، لم يضطر المهاجمون إلى إنشاء مراجع نصية خارجية يتم التقاطها عادةً بواسطة الماسحات الضوئية الأمنية. “تعيش البرامج الضارة بأكملها بشكل مضمن، ويتم ترميزها كسمة سلسلة واحدة.”
يستمر المقال أدناه
الاستفادة من بوليشيل
سيتم تقديم الأشخاص الذين يحاولون شراء شيء ما من هذه المواقع، أثناء الدفع، مع تراكب “الخروج الآمن” المزيف الذي يتضمن حقول تفاصيل البطاقة ونموذج الفواتير.
سيتم بعد ذلك التحقق من صحة كل ما يقدمونه بهذه الطريقة في الوقت الفعلي باستخدام التحقق من Luhn، ثم إرساله إلى خادم يتحكم فيه المهاجم بتنسيق JSON مشفر XOR ومبهم بقاعدة 64.
ووجد الباحثون ما مجموعه ستة نطاقات تستخدم لاستخلاص البيانات، وجميعها مستضافة في هولندا. وكان كل منهم يحصل على بيانات من ما يصل إلى 15 ضحية مؤكدة.
وفي معرض مناقشة كيفية اختراق مواقع الويب، قال Sansec إنه من الممكن أن يكون المهاجمون قد استفادوا من PolyShell، وهي ثغرة أمنية ابتليت بها عمليات تثبيت الإصدار 2 المستقر من Magento Open Source وAdobe Commerce، والتي تم اكتشافها في منتصف مارس من هذا العام. وحذرت شركة Sansec، التي كانت أيضًا من اكتشفت PolyShell، من الهجمات المستمرة في ذلك الوقت.
وقالت شركة Sansec: “بدأ الاستغلال الشامل لـPolyShell في 19 مارس، وقد اكتشفت Sansec الآن هجمات PolyShell على 56.7% من جميع المتاجر المعرضة للخطر”، دون إعطاء عدد أولي للمواقع المستهدفة.
قامت Adobe بتصحيحه، لكن الإصلاح كان متاحًا فقط في إصدار ألفا الثاني للإصدار 2.4.9، مما يعني أن إصدارات الإنتاج ظلت عرضة للخطر.
ولا يزال هذا هو الحال اليوم، وتوصي Sansec المستخدمين بالبحث عن علامات تبويب SVG المخفية، بالإضافة إلى مراقبة وحظر حركة المرور القادمة من خوادم المهاجمين.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات