فروشگاه‌های اینترنتی، هدف کد مخرب Magecart

به گزارش شرکت مهندسی شبکه گستر، بر اساس بررسی‌های انجام شده توسط یک محقق هلندی نزدیک به 6 هزار سایت فروشگاه آنلاین به کد مخربی آلوده شده‌اند که اطلاعات کارت اعتباری خریداران از این سایت‌ها را جمع‌آوری کرده و به مهاجمان ارسال می‌کند.

این کد مخرب موسوم به Magecart، با بهره جویی (Exploit) از ضعف‌های امنیتی سرورها یا نرم‌افزارهای نصب شده بر روی آنها، خود را به سایت‌های مبتنی بر بسترهای Magento Commerce،وPowerfront CMS و OpenCart تزریق می‌کند. Magecart که از نوع JavaScript است در دو مرحله عملیات خود را انجام می‌دهد.

در گام نخست، Magecart منتظر می‌ماند تا کاربر به صفحه Checkout – صفحه پرداخت – هدایت شود. در مرحله بعدی قابلیت ثبت کلید (Keylogger) فعال می‌شود. هدف از انجام این کار جمع‌آوری اطلاعات وارد شده توسط کاربر در فلیدهای صفحه اینترنتی و ارسال آنها به سرور فرماندهی مهاجمان است.

اسکریپت Magecart از دامنه‌هایی فراخوانی می‌شود که نام آنها در هر آلودگی متفاوت است. موضوعی که نشان‌دهنده دانش مهاجمان این حمله در مخفی نمودن ردپای خود است. تمامی اسکریپت‌ها از طریق پودمان امن HTTPS فراخوانی می‌شوند و داده‌های سرقت شده نیز از همین طریق منتقل می‌شوند.

در مواقعی که صفحه Checkout تمامی اطلاعات مورد نظر مهاجمان را از کاربر نگیرد، کد مخرب Magecart فیلدهای ورودی جدیدی را به صفحه سایت اضافه می‌کند.

نخستین گزارش انتشار کد مخرب Magecart به نوامبر سال 2015 باز می‌گردد. در آن زمان این محقق هلندی با پویش 255 هزار سایت فروشگاه آنلاین اینترنتی متوجه آلوده بودن 3501 مورد آنها شد.

جدول زیر تعداد سایت‌های آلوده شده تا سپتامبر سال میلادی جاری را نمایش می‌دهد.

به گفته این محقق 754 سایت آلوده موجود در سال 2015 نیز آلوده بودند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت RiskIQ، کد مخرب Magecart قابلیت سرقت اطلاعات از سایت‌هایی که از سامانه‌های پرداخت Braintree یا VeriSign استفاده می کنند را داراست.

در ایران با توجه به اینکه فرآیند پرداخت آنلاین در درگاه بانک و نه در سایت فروشنده صورت می‌پذیرد Magecart کاربردی برای مهاجمان آن ندارد.