قراصنة يستخدمون مجالات مماثلة وأيقونات مفضلة لسرقة تفاصيل البطاقة

-يستخدمون-مجالات-مماثلة-وأيقونات-مفضلة-لسرقة-تفاصيل-البطاقة.jpg


تفاصيل بطاقة الائتمان التي سرقها قراصنة شركة Magecart
تفاصيل بطاقة الائتمان التي سرقها قراصنة شركة Magecart

أبلغ فريق Malwarebytes عن حملة ضارة جديدة يستخدم فيها المتسللون مواقع الويب الخاصة بنطاقات متجانسة وأيقونة مفضلة لسرقة بيانات بطاقة الائتمان. يقوم المتسللون بتخزين شفراتهم الخبيثة هنا في بيانات EXIF ​​لملف favicon ، والتي سيتم تحميلها مع الصفحة لإصابة الموقع.

يستخدم المتسللون الرموز المفضلة لسرقة تفاصيل البطاقة

تستمر هجمات Magecart في التحسن لأن معظمنا محصور في المنزل هذه الأيام. تتضمن الهجمات إصابة أي موقع ويب للتجارة الإلكترونية ببرامج ضارة مصممة خصيصًا تعترض تفاصيل المعلومات الحساسة مثل تفاصيل بطاقة الائتمان وعناوين فواتير المشترين. يتم بعد ذلك إعادة بيع هذه البيانات المالية القابلة للتحديد على مجموعات الإنترنت المظلمة أو استخدامها لمزيد من الهجمات.

تظهر الإصدارات الأحدث من هجمات Magecart من وقت لآخر ، حيث تشبه جميعها إخفاء التعليمات البرمجية الضارة في البيانات الوصفية للملفات المستخدمة. لكن في تكرار جديد لهذه الهجمات ، كما ورد في فريق Malwarebytes، اكتشف الباحثون أن نصًا خبيثًا يستهدف البرمجيات الخبيثة لسرقة البيانات يتم تحميله في الأيقونة المفضلة!

نظرًا لأن ملفات favicon (.ico) تحتوي على علامات وصفية EXIF ​​توفر المزيد من حقول البيانات أكثر من البيانات الوصفية للملفات النصية العامة ، فإن المتسللين ينتهزون هذه الفرصة. يقومون بتخزين الكود في ملف “حقوق النشر” الخاص بملفات الأيقونة المفضلة. علاوة على ذلك ، يديرون هذه الحملة من خلال استهداف المجالات المسماة بـ homoglyphs حيث يمكن تزويرها بسهولة.

يتم استخدام مجال Cigarpage
يتم استخدام مجال Cigarpage

وأوضح العلماء هذه الحادثة بهجوم واحد شهده “سيجاربا”.سولتم اختراق e.com وتغيير الرمز المفضل إلى الصورة المرغوبة ، والتي تم وضعها أيضًا على الرمز المفضل لموقعهم المزيف مع النطاق “cigarpaفe.com “. يضيف هذا طبقة إضافية من المصداقية إلى موقع الويب الزائف.

أوجه التشابه بين مسار URL للرموز المفضلة الحقيقية والمزيفة من أجل الأصالة
أوجه التشابه بين مسار URL للرموز المفضلة الحقيقية والمزيفة من أجل الأصالة

بعد التتبع ، سيذهب إلى عنوان IP 51.83.209.11 يحتوي على مجالات أخرى مثل fleldsupply.com ، winqsupply.com أنا zoplm.com لها نفس المصير. تحتوي جميع الرموز المفضلة لديهم على كود JavaScript ضار لالتقاط بيانات المشتري الحساسة. كانت هذه هي المرة الأولى التي يستخدم فيها مهاجم أيقونة مفضلة. لذلك ، يُنصح بالتحقق من الموقع بعناية قبل إجراء أي معاملة أو إدخال التفاصيل.

أخبار شعبية أخرى: – أخبار

scroll to top