في عالم الأمن السيبراني، تبرز باستمرار تهديدات جديدة تتطلب انتباهاً دقيقاً وتحليلاً عميقاً. واحدة من هذه التهديدات هي حملة البرمجيات الخبيثة التي تستهدف مواقع التجارة الإلكترونية، وخاصة تلك التي تعمل على منصة ماجنتو (Magento)، عبر إخفاء المحتوى الخبيث داخل علامات الصور (img) في الشيفرة البرمجية (HTML) لتجنب الكشف.

ما هي البرمجيات الخبيثة (MageCart)؟

تُعرف برمجية (MageCart) بأنها نوع من البرمجيات الخبيثة التي تهدف إلى سرقة المعلومات الحساسة المتعلقة بالدفع من مواقع التسوق عبر الإنترنت. تُستغل هذه الهجمات تقنيات متعددة، سواء على مستوى العميل أو الخادم، لاختراق المواقع وتنفيذ برمجيات سكيمر لسرقة بطاقات الائتمان.

كيف تعمل هذه الهجمات؟

عادةً ما يتم تفعيل هذه البرمجيات الخبيثة عند زيارة المستخدمين لصفحات الدفع لإدخال تفاصيل بطاقاتهم الائتمانية، وذلك عبر تقديم نموذج وهمي أو التقاط المعلومات المدخلة في الوقت الحقيقي. تُستهدف برمجية (MageCart) بشكل رئيسي منصة ماجنتو (Magento)، التي تقدم ميزات سلة التسوق والدفع للمتاجر الإلكترونية.

التقنيات المستخدمة في الإخفاء

مع مرور الوقت، تطورت هذه الحملات لتشمل تقنيات إخفاء البرمجيات الضارة عبر الترميز والتمويه داخل مصادر تبدو غير ضارة، مثل الصور الوهمية، وملفات الصوت، والرموز المفضلة، وحتى صفحات الخطأ 404. وأوضح الباحث من شركة (Sucuri)، كايلي مارتن، أن البرمجية الخبيثة في هذه الحالة تعتمد على إخفاء المحتوى الضار داخل علامة (img)، مما يسهل التغاضي عنها.

تُستخدم علامة (img) كطُعم يحتوي على محتوى مشفر بصيغة (Base64) يشير إلى تعليمات (JavaScript) تُفعل عند اكتشاف حدث (onerror). هذا يجعل الهجوم أكثر خبثاً حيث تثق المتصفحات في وظيفة (onerror) بشكل طبيعي.

التحديات والآثار الأمنية

تكمن ميزة إضافية للجهات المهاجمة في أن عنصر (img) يُعتبر غير ضار عادةً. تقوم البرمجيات الخبيثة بالكشف عما إذا كان المستخدم في صفحة الدفع، وتنتظر حتى يضغط المستخدمون غير المشتبه بهم على زر الإرسال لسحب المعلومات الحساسة إلى خادم خارجي.

تم تصميم السكربت لإدراج نموذج خبيث يحتوي على ثلاثة حقول: رقم البطاقة، تاريخ الانتهاء، والرمز السري (CVV)، بهدف استخراجها إلى موقع wellfacing[.]com.

وأوضح مارتن أن المهاجم يحقق هدفين بارزين باستخدام هذا السكربت الخبيث: تجنب الكشف بسهولة عن طريق ترميز السكربت الخبيث داخل علامة (img)، وضمان عدم ملاحظة المستخدمين النهائيين لأي تغييرات غير عادية عند إدخال النموذج الخبيث، مما يجعله غير مكتشف لأطول فترة ممكنة.

الاتجاهات الحالية في الأمن السيبراني

يأتي هذا التطور ضمن سلسلة من الحوادث التي تستهدف منصات التجارة الإلكترونية مثل ماجنتو (Magento)، (WooCommerce)، و(PrestaShop)، حيث يسعى المهاجمون للبقاء غير مكتشفين لأطول فترة ممكنة باستخدام برمجيات خبيثة أكثر تعقيداً.

في سياق آخر، كشفت شركة أمن المواقع عن حادثة تتعلق بموقع (WordPress) استغل دليل (mu-plugins) أو “الملحقات التي يجب استخدامها” لزرع الأبواب الخلفية وتنفيذ شيفرة (PHP) خبيثة بشكل خفي.

وفقًا لبوجا سريفاستافا، فإن المهاجمين يستغلون هذا الدليل للحفاظ على الاستمرارية وتجنب الكشف، حيث تُنفذ الملفات الموضوعة هنا تلقائيًا ولا يمكن تعطيلها بسهولة من لوحة إدارة (WordPress).

هل وجدت هذا المقال مثيراً للاهتمام؟ تابعنا على X (تويتر) وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.