به گزارش شرکت مهندسی شبکه گستر، بر اساس بررسیهای انجام شده توسط یک محقق هلندی نزدیک به 6 هزار سایت فروشگاه آنلاین به کد مخربی آلوده شدهاند که اطلاعات کارت اعتباری خریداران از این سایتها را جمعآوری کرده و به مهاجمان ارسال میکند.
این کد مخرب موسوم به Magecart، با بهره جویی (Exploit) از ضعفهای امنیتی سرورها یا نرمافزارهای نصب شده بر روی آنها، خود را به سایتهای مبتنی بر بسترهای Magento Commerce،وPowerfront CMS و OpenCart تزریق میکند. Magecart که از نوع JavaScript است در دو مرحله عملیات خود را انجام میدهد.
در گام نخست، Magecart منتظر میماند تا کاربر به صفحه Checkout – صفحه پرداخت – هدایت شود. در مرحله بعدی قابلیت ثبت کلید (Keylogger) فعال میشود. هدف از انجام این کار جمعآوری اطلاعات وارد شده توسط کاربر در فلیدهای صفحه اینترنتی و ارسال آنها به سرور فرماندهی مهاجمان است.
اسکریپت Magecart از دامنههایی فراخوانی میشود که نام آنها در هر آلودگی متفاوت است. موضوعی که نشاندهنده دانش مهاجمان این حمله در مخفی نمودن ردپای خود است. تمامی اسکریپتها از طریق پودمان امن HTTPS فراخوانی میشوند و دادههای سرقت شده نیز از همین طریق منتقل میشوند.
در مواقعی که صفحه Checkout تمامی اطلاعات مورد نظر مهاجمان را از کاربر نگیرد، کد مخرب Magecart فیلدهای ورودی جدیدی را به صفحه سایت اضافه میکند.
نخستین گزارش انتشار کد مخرب Magecart به نوامبر سال 2015 باز میگردد. در آن زمان این محقق هلندی با پویش 255 هزار سایت فروشگاه آنلاین اینترنتی متوجه آلوده بودن 3501 مورد آنها شد.
جدول زیر تعداد سایتهای آلوده شده تا سپتامبر سال میلادی جاری را نمایش میدهد.
به گفته این محقق 754 سایت آلوده موجود در سال 2015 نیز آلوده بودند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت RiskIQ، کد مخرب Magecart قابلیت سرقت اطلاعات از سایتهایی که از سامانههای پرداخت Braintree یا VeriSign استفاده می کنند را داراست.
در ایران با توجه به اینکه فرآیند پرداخت آنلاین در درگاه بانک و نه در سایت فروشنده صورت میپذیرد Magecart کاربردی برای مهاجمان آن ندارد.