كشف باحثون في مجال الأمن السيبراني عن حملة اختراق واسعة النطاق تستهدف سرقة بيانات بطاقات الائتمان من صفحات الدفع الإلكتروني، وهي نشطة بشكل خفي منذ يناير 2022 وتستهدف شبكات دفع عالمية كبرى.
وتشير التقارير الأمنية إلى أن المؤسسات التجارية التي تعتمد على مزودي خدمات الدفع هؤلاء هي الأكثر عرضة للخطر، حيث يقوم المهاجمون بحقن أكواد برمجية خبيثة لسرقة البيانات الحساسة للمستخدمين.
ما هي الشبكات المستهدفة في هذا الهجوم؟
وفقاً للتحليلات التقنية، فإن هذه الحملة لا تقتصر على منطقة جغرافية محددة، بل تستهدف منصات الدفع العالمية التي يعتمد عليها الملايين يومياً. وقد تم رصد محاولات سرقة بيانات من البطاقات والشبكات التالية:
- American Express
- Mastercard
- Visa
- UnionPay
- Diners Club
- JCB Co., Ltd
وتندرج هذه الهجمات تحت فئة "الكشط الرقمي" (Digital Skimming)، حيث يقوم القراصنة باختراق المتاجر الإلكترونية الشرعية وحقن كود JavaScript ضار داخل صفحات الدفع، مما يسمح لهم بنسخ المعلومات المدخلة سراً.
كيف تعمل برمجيات Magecart الخبيثة؟
تُصنف هذه الهجمات تحت مظلة "Magecart"، وهو مصطلح يشير إلى مجموعات الجرائم الإلكترونية التي بدأت باستهداف متاجر Magento ثم توسعت لتشمل منصات أخرى. وحسب متابعة فريق تيكبامين لهذه التهديدات، فإن الهجوم الجديد يعتمد على نطاق مشبوه (cdn-cookie[.]com) لاستضافة ملفات برمجية مموهة.
أساليب التخفي المتقدمة
ما يميز هذه الحملة هو قدرتها العالية على التخفي وتجنب الرصد من قبل مديري المواقع. تستخدم البرمجية الخبيثة تقنيات متطورة لفحص هيكل الصفحة (DOM) قبل تفعيل نفسها.
تقوم البرمجية بالبحث عن عنصر محدد يُعرف باسم "wpadminbar"، وهو شريط الأدوات الذي يظهر فقط للمسؤولين (Admin) عند تسجيل الدخول إلى مواقع ووردبريس.
- في حال وجود الشريط: تقوم البرمجية بتفعيل تدمير ذاتي وإزالة نفسها فوراً لتجنب اكتشافها من قبل صاحب الموقع.
- في حال عدم وجود الشريط: (أي أن الزائر هو متسوق عادي)، تعمل البرمجية بحرية لسرقة البيانات.
خدعة استهداف بوابات Stripe
لم يتوقف المهاجمون عند هذا الحد، بل طوروا آلية خاصة لاستهداف بوابات الدفع عبر Stripe. تتحقق البرمجية من وجود عنصر يسمى "wc_cart_hash" في التخزين المحلي للمتصفح (localStorage).
إذا لم يكن هذا المؤشر موجوداً، تقوم البرمجية الخبيثة بعرض نموذج دفع مزيف يحل محل النموذج الأصلي لخدمة Stripe عبر التلاعب بواجهة المستخدم، مما يخدع الضحايا لإدخال بياناتهم في النموذج المزور الذي يرسل المعلومات مباشرة إلى القراصنة.
وينصح فريق تيكبامين أصحاب المتاجر الإلكترونية بضرورة فحص أكواد مواقعهم بشكل دوري واستخدام أدوات أمنية متقدمة لكشف أي تغييرات غير مصرح بها في ملفات الـ JavaScript لضمان سلامة بيانات عملائهم.
