كشفت حملة جديدة مستوحاة من هجمات “ماجيكارت” (Magecart) عن أساليب مبتكرة لاستهداف المتسوقين عبر الإنترنت، وتتمثل في حقن أكواد جافاسكريبت خبيثة بهدف سرقة بيانات الدفع مباشرة من مواقع التجارة الإلكترونية.
تعمل هذه الهجمات عن طريق إدخال برمجيات مخفية في مواقع التسوق المخترقة، مما يسمح للمهاجمين باعتراض البيانات الحساسة عندما يقوم العملاء بإدخال تفاصيل بطاقاتهم الائتمانية أثناء عملية الدفع.
تُعد هجمات ماجيكارت تهديداً كبيراً لتجار التجزئة عبر الإنترنت وعملائهم. وقد تطورت هذه الحملات على مدى عدة سنوات، حيث يقوم مجرمو الإنترنت باستمرار بتحسين أساليبهم لتجنب الكشف. ويظهر الإصدار الأخير من هذه الهجمات تقنيات تمويه متطورة، مما يجعل من الصعب على فرق الأمن تحديد وصد الكود الخبيث قبل أن يؤثر على ثقة العملاء وعمليات الأعمال.
حدد محلل الأمن هيمانتشو أناند هذه الحملة بالذات من خلال معلومات استخباراتية مفتوحة المصدر حول التهديدات. وتتبع الهجوم إلى نطاق رئيسي، cc-analytics.com، الذي كان يستضيف ملف جافاسكريبت الخبيث. وكشف الاكتشاف عن جهود منسقة من قبل الجهات الفاعلة في مجال التهديدات لنشر حمولات متماثلة عبر منصات التجارة الإلكترونية المتعددة، مما يشير إلى حملة واسعة النطاق تؤثر على العديد من الشركات عبر الإنترنت وعملائها.
تُرسل البيانات المسروقة إلى خوادم يتحكم بها المهاجمون، حيث يقوم المجرمون بجمع معلومات الدفع لإعادة بيعها أو استخدامها في عمليات احتيالية. وتوضح هذه الحملة كيف يستغل المهاجمون بيئات التجارة الإلكترونية الموثوقة لاستهداف العملاء في أضعف لحظاتهم – عند إجراء عملية شراء عبر الإنترنت.
آلية عمل هجمات ماجيكارت الجديدة
تعمل جافاسكريبت الخبيثة من خلال عملية متعددة المراحل تظل مخفية عن العملاء ومديري المواقع. عندما يزور متسوق غير مدرك لموقع تجارة إلكترونية مخترق، يتم تحميل كود المهاجم بهدوء في الخلفية عبر وسم نص برمجي بسيط تم حقنه في كود HTML الخاص بصفحة الويب.
بمجرد تنشيطه، يستهدف النص البرمجي حقول النماذج المحددة حيث يقوم العملاء بإدخال معلوماتهم الحساسة. يقوم بالارتباط بأزرار الدفع وعناصر نماذج الدفع، ويراقب نشاط المستخدم بحثاً عن علامات إدخال بيانات الدفع.
عندما يكتب العميل رقم بطاقته الائتمانية وعنوان الفواتير، يقوم جافاسكريبت بالتقاط هذه المعلومات في الوقت الفعلي قبل أن تصل إلى بوابة الدفع الشرعية. تحدث عملية السرقة على الفور من خلال وظيفة استخراج بيانات آلية.
يتم تجميع تفاصيل الدفع التي تم التقاطها في طلب وإرسالها إلى البنية التحتية للمهاجمين، وتحديداً إلى نطاقات مثل pstatics.com. بحلول الوقت الذي يكمل فيه العميل عملية الشراء، تكون معلومات بطاقته الائتمانية قد تم جمعها بالفعل وإرسالها إلى المجرمين وراء الحملة.
ما يجعل هذا الهجوم خطيراً بشكل خاص هو عدم قابليته للكشف. تعمل جافاسكريبت بصمت دون إطلاق تحذيرات أمنية للمتصفح أو ترك علامات واضحة على الاختراق. وتقنيات التمويه المستخدمة تجعل الكود غير قابل للقراءة من قبل أدوات الأمن الآلية، مما يمكّنها من البقاء على المواقع المخترقة لفترات طويلة مع الاستمرار في سرقة البيانات من العملاء غير المدركين.