هذا مختلف تمامًا – يستخدم القراصنة صور SVG صغيرة الحجم لمحاولة إخفاء برامج سرقة بطاقات الائتمان
خبر هام: خبراء الأمن يكشفون عن وجود أدوات تجسس لبطاقات الائتمان مخفية في صورة SVG صغيرة وخطة احتيالية مزيفة لـ “الدفع الآمن”
كشف خبراء أمن المعلومات مؤخرًا عن وجود أدوات تجسس لبطاقات الائتمان مخفية داخل مواقع تجارة إلكترونية تعرضت للاختراق، حيث تم العثور على أدوات خبيثة مختبئة في صورة صغيرة بقياس 1×1 بيكسل من نوع SVG. وتبين أن هذه الأدوات تستخدم تقنية متطورة لسرقة بيانات بطاقات الائتمان بشكل خفي وفعال.
كيف تم اكتشاف أدوات التجسس على المواقع الإلكترونية؟
أفاد فريق Sansec أنه عثر على عناصر SVG من نوع 1×1 بكسل تحتوي على معالج ‘onload’ داخل كود HTML للعديد من مواقع التجارة الإلكترونية.
تفاصيل التقنية الخبيثة
- تحتوي وظيفة ‘onload’ على حمولة البرمجية الخبيثة مشفرة باستخدام base64 داخل استدعاء atob()، وتُنفذ عبر setTimeout.
- بهذه الطريقة، لا يحتاج المهاجمون إلى إنشاء روابط برمجية خارجية، مما يصعب اكتشافها بواسطة أدوات الأمان التقليدية.
- البرنامج الخبيث يكون مضمّنًا مباشرة داخل الكود، مشفرًا كسلسلة نصية واحدة، مما يعزز من صعوبة اكتشافه وإزالته.
عملية الاحتيال خلال عملية الشراء
عند محاولة المستخدمين إتمام عملية الشراء، تظهر لهم واجهة مزيفة بعنوان “الدفع الآمن” تتضمن حقول لبيانات بطاقة الائتمان ونموذج للفواتير.
كيفية سرقة البيانات
- يتم التحقق من صحة البيانات المُدخلة عبر فحوصات فورية باستخدام تقنية التحقق من صحة رقم بطاقة الائتمان (Luhn).
- تُرسل البيانات بعد ذلك إلى خادم يتحكم فيه المهاجم بشكل مشفر باستخدام XOR وبتنسيق JSON مشفر باستخدام base64.
مواقع الخادمات المُستخدمة وأثرها
- عثر الباحثون على ستة نطاقات استضافت هذه البيانات المُسربة، جميعها تقع في هولندا.
- كانت تتلقى البيانات من حوالي 15 ضحية مؤكدين لكل موقع من المواقع المخترقة.
كيف تم اختراق المواقع وما الثغرة المستغلة؟
ذكرت شركة Sansec أن الاختراق ربما تم عبر استغلال ثغرة PolyShell، وهي مشكلة أمنية معروفة في إصدارات Magento Open Source وAdobe Commerce المستقرة حتى منتصف مارس من هذا العام.
تفاصيل الثغرة
- تم اكتشاف أن هجمات PolyShell بدأت بشكل مكثف منذ 19 مارس، حيث استُخدمت في استهداف أكثر من نصف المتاجر الضعيفة (56.7%).
- على الرغم من تصحيح الثغرة من قبل شركة Adobe، إلا أن الإصلاح كان متاحًا فقط في النسخة التجريبية الثانية من الإصدار 2.4.9، مما يعني أن النسخ الإنتاجية ظلت عرضة للخطر.
نصائح مهمة للمستخدمين وأصحاب المتاجر الإلكترونية
- يُنصح المستخدمون بمراقبة المواقع بحثًا عن علامات وجود علامات SVG مخفية.
- من الضروري مراقبة وحظر الحركة القادمة من خوادم المهاجمين لمنع سرقة البيانات.
خلاصة
تُعد هذه الحملة الإلكترونية مثالاً على مدى تطور أساليب الهجمات الرقمية، وأن الثغرات الأمنية القديمة لا تزال تمثل خطرًا كبيرًا على أمن البيانات الشخصية والمالية. من المهم أن يظل أصحاب المتاجر وأفراد المستخدمين يقظين ويعملوا على تحديث أنظمتهم باستمرار لضمان حماية معلوماتهم الحساسة.
ترجمة المقالة إلى العربية
خبراء الأمن يكشفون عن أدوات تجسس لبطاقات الائتمان مخفية في صورة SVG صغيرة وخطة احتيالية مزيفة لـ “الدفع الآمن”
كشف خبراء أمن المعلومات مؤخرًا عن وجود أدوات تجسس لبطاقات الائتمان مخفية داخل مواقع تجارة إلكترونية تعرضت للاختراق، حيث تم العثور على أدوات خبيثة مختبئة في صورة صغيرة بقياس 1×1 بيكسل من نوع SVG. وتبين أن هذه الأدوات تستخدم تقنية متطورة لسرقة بيانات بطاقات الائتمان بشكل خفي وفعال.
كيف تم اكتشاف أدوات التجسس على المواقع الإلكترونية؟
أفاد فريق Sansec أنه عثر على عناصر SVG من نوع 1×1 بكسل تحتوي على معالج ‘onload’ داخل كود HTML للعديد من مواقع التجارة الإلكترونية.
تفاصيل التقنية الخبيثة
- تحتوي وظيفة ‘onload’ على حمولة البرمجية الخبيثة مشفرة باستخدام base64 داخل استدعاء atob()، وتُنفذ عبر setTimeout.
- بهذه الطريقة، لا يحتاج المهاجمون إلى إنشاء روابط برمجية خارجية، مما يصعب اكتشافها بواسطة أدوات الأمان التقليدية.
- البرنامج الخبيث يكون مضمّنًا مباشرة داخل الكود، مشفرًا كسلسلة نصية واحدة، مما يعزز من صعوبة اكتشافه وإزالته.
عملية الاحتيال خلال عملية الشراء
عند محاولة المستخدمين إتمام عملية الشراء، تظهر لهم واجهة مزيفة بعنوان “الدفع الآمن” تتضمن حقول لبيانات بطاقة الائتمان ونموذج للفواتير.
كيفية سرقة البيانات
- يتم التحقق من صحة البيانات المُدخلة عبر فحوصات فورية باستخدام تقنية التحقق من صحة رقم بطاقة الائتمان (Luhn).
- تُرسل البيانات بعد ذلك إلى خادم يتحكم فيه المهاجم بشكل مشفر باستخدام XOR وبتنسيق JSON مشفر باستخدام base64.
مواقع الخادمات المُستخدمة وأثرها
- عثر الباحثون على ستة نطاقات استضافت هذه البيانات المُسربة، جميعها تقع في هولندا.
- كانت تتلقى البيانات من حوالي 15 ضحية مؤكدين لكل موقع من المواقع المخترقة.
كيف تم اختراق المواقع وما الثغرة المستغلة؟
ذكرت شركة Sansec أن الاختراق ربما تم عبر استغلال ثغرة PolyShell، وهي مشكلة أمنية معروفة في إصدارات Magento Open Source وAdobe Commerce المستقرة حتى منتصف مارس من هذا العام.
تفاصيل الثغرة
- تم اكتشاف أن هجمات PolyShell بدأت بشكل مكثف منذ 19 مارس، حيث استُخدمت في استهداف أكثر من نصف المتاجر الضعيفة (56.7%).
- على الرغم من تصحيح الثغرة من قبل شركة Adobe، إلا أن الإصلاح كان متاحًا فقط في النسخة التجريبية الثانية من الإصدار 2.4.9، مما يعني أن النسخ الإنتاجية ظلت عرضة للخطر.
نصائح مهمة للمستخدمين وأصحاب المتاجر الإلكترونية
- يُنصح المستخدمون بمراقبة المواقع بحثًا عن علامات وجود علامات SVG مخفية.
- من الضروري مراقبة وحظر الحركة القادمة من خوادم المهاجمين لمنع سرقة البيانات.
خلاصة
تُعد هذه الحملة الإلكترونية مثالاً على مدى تطور أساليب الهجمات الرقمية، وأن الثغرات الأمنية القديمة لا تزال تمثل خطرًا كبيرًا على أمن البيانات الشخصية والمالية. من المهم أن يظل أصحاب المتاجر وأفراد المستخدمين يقظين ويعملوا على تحديث أنظمتهم باستمرار لضمان حماية معلوماتهم الحساسة.
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.