كشفت
Group-IB
،
وهي شركة دولية متخصصة في منع الهجمات
الإلكترونية ، عن رمز خبيث مصمم لسرقة
بيانات دفع العملاء في سبعة متاجر عبر
الإنترنت في المملكة المتحدة والولايات
المتحدة.
السلام عليكم ورحمة الله تعالى و بركاته
تم التعرف على الكود الذي تم حقنه كجافا سكريبت JavaScript جديدة (JS Sniffer) يطلق عليها Group-IB باسم GMO. اكتشف فريق Group-IB Threat Intelligence لأول مرة GMO JS Sniffer على الموقع الإلكتروني لشركة السلع الرياضية الدولية FILA UK ، والتي كان من الممكن أن تؤدي إلى سرقة تفاصيل الدفع لما لا يقل عن 5600 عميل على مدار الأربعة أشهر الماضية.
هل المدفوعات الخاصة بك والشم؟
تتضمن الانتهاكات الأخيرة المشابهة لهذا ، الخطوط الجوية البريطانية و Ticketmaster التي تم تحليلها أولاً بواسطة فريق أبحاث RiskIQ ، حيث نجح مجرمو الإنترنت في اختراق المعلومات الشخصية لآلاف المسافرين ورواد الحفلات الموسيقية مع بضعة أسطر من الشفرات. أصيبت مواقع الخطوط الجوية البريطانية و Ticketmaster بـ JS Sniffers ، وهو نوع من الأكواد الخبيثة التي تم حقنها في موقع الضحية المصمم لسرقة بيانات المستهلك الشخصية بما في ذلك تفاصيل بطاقة الدفع والأسماء وبيانات الاعتماد وما إلى ذلك. موقع FILA UK (fila.co [.] uk) أصبح الهدف الرئيسي الجديد لمجرمي الإنترنت في سوق المملكة المتحدة. كما تم اكتشاف GMO JS Sniffer في 6 مواقع أخرى لشركات مقرها الولايات المتحدة. هذا النوع من الهجوم خطير بشكل خاص نظرًا لأنه يمكن تطبيقه على أي موقع للتجارة الإلكترونية تقريبًا حول العالم. قامت Group-IB بمحاولات متعددة لتنبيه FILA ، والتي كان معروفًا أنها متأثرة بالكائنات المعدلة وراثيًا. تم إخطار ستة مواقع ويب أخرى متأثرة بهذا JS Sniffer عند الاكتشاف أيضًا. وصل فريق Group-IB أيضًا إلى السلطات المحلية في المملكة المتحدة والولايات المتحدة لإجراء التوعية.
اكتشف فريق Group-IB's Threat Intelligence لأول مرة الكائنات المعدلة وراثيًا على موقع FILA UK. تم اكتشاف الشفرة الخبيثة في أوائل مارس 2019. في أثناء إجراء مزيد من الأبحاث ، تم الكشف عن أن GMO JS Sniffer من المفترض أنها تقوم بجمع بيانات دفع العملاء منذ نوفمبر 2018. طبقًا لموقع Alexa.com ، فإن عدد fila.co [.] uk يقدر عدد الزوار الشهري الفريد بحوالي 140 ألف زائر شهريًا. وفقًا لـ IRP ، شركة أبحاث السوق في المملكة المتحدة ، فإن الحد الأدنى للتحويل إلى الشراء لتجارة الأزياء والملابس يساوي 1٪. باستخدام تقديرات متحفظة للغاية ، كان من المحتمل أن يكون قد تم سرقة الدفعات والتفاصيل الشخصية لما لا يقل عن 5600 عميل من قِبل مجرمي الإنترنت - كل من قام بشراء سلع على fila.co.uk منذ نوفمبر 2018 قد تعرض بياناته للخطر. عادةً ، بعد سرقة بيانات العميل ، يتم إعادة بيعها عادةً على البطاقات الورقية. هناك مخطط آخر لسحب الأموال ينطوي على استخدام بطاقات مخفضة لشراء سلع ثمينة ، على سبيل المثال الالكترونيات ، للبيع فصاعدا.
"يقوم رمز سرقة البطاقة أحادية الخط بتنزيل JavaScript Sniffer بمجرد هبوط العميل على صفحة الخروج ، والتي تعترض بيانات بطاقة الائتمان وترسلها إلى التخزين المحلي. بعد ذلك ، يتم إرسال تفاصيل بطاقات الدفع إلى بوابة JS Sniffer الموجودة على نفس الخادم كبرنامج JS Sniffer نفسه. ربما قام مجرمو الإنترنت بحقن رمز خبيث من خلال استغلال ثغرة أمنية في Magento CMS (نظام إدارة المحتوى) ، أو استخدامه من قِبل FILA.co.uk ، أو ببساطة عن طريق المساس بأوراق اعتماد مسؤول الموقع باستخدام برامج تجسس خاصة أو كسر كلمة المرور بطرق القوة الغاشمة " - تعليقات ديمتري فولكوف ، رئيس قسم تقنية المعلومات ورئيس الاستخبارات في Group-IB. "أطلقنا على هذه الكائنات الحية المعدلة وراثيا JS Sniffer لأن البرمجيات الخبيثة تستخدم gmo [.] li host."
الشكل 4: تظهر لقطة الشاشة جزءًا من JS Sniffer الذي يستدعي وظائف لجمع وإرسال معلومات دفع الضحية إلى مجرمي الإنترنت
اكتشف متخصصو Later Group-IB مواقع ويب أخرى مصابة بـ GMO JS Sniffer. تضمنت القائمة ستة متاجر للتجارة الإلكترونية مع ما مجموعه حوالي 350،000 زائر فريد شهريًا (وفقًا لتصنيفات Alexa.com): http: // jungleeny [.] com (متجر تصميم المنازل) ، https://forshaw .com/ ( Pest Management Products Store) ، https: //www.absolutenewyork . com / (Cosmetics Store) ، https://www.cajungrocer.com / (Online Grocery Store) ، https://www.getrxd.com / معدات التدريب) ، https: //www.sharbor.com / (Video Editing Apparel store).
البريد PLURIBUS أونوم؟
GMO هي عائلة من JS Sniffers التي تستهدف المتاجر الإلكترونية الموجودة في Magento. يمكن أن تكتشف الكائنات المعدلة وراثيا أدوات Firebug و Google Developer ، مما يسمح لبقاء الشم دون أن يتم كشفها. اكتشف فريق تهديدات Group-IB التابع لمجموعة Group-IB أن GMO نشط منذ مايو 2018. تم تسجيل اسم المجال المستخدم لتخزين رموز الشم وبوابة لجمع البيانات المسروقة في 7 مايو 2018. GMO JS Sniffer هو واحد من أسر 15 من المتشممون التي وصفتها Group-IB في تقريرها الجديد أن الشركة تستعد للافراج قريبا. سيكون عملاء Group-IB Threat Intelligence هم أول من يتلقى التقرير. تسعة من هذه الأسر الخمسة عشر JS Sniffers لم يتم بحثها من قبل.
"JS Sniffers هو نوع من البرامج الضارة التي لا تزال ضعيفة البحث. على الرغم من بساطته ، فإنه قادر على التسبب في أضرار مالية وسمعة هائلة للشركات الدولية الضخمة وبالتالي لا ينبغي الاستهانة بها. أثبتت خروقات البيانات الحديثة في الخطوط الجوية البريطانية و Ticketmaster هذه النقطة. لا تتأثر المتاجر الصغيرة على الإنترنت فحسب ، بل تتأثر أيضًا بأنظمة الدفع والبنوك التي يعاني عملاؤها من تسرب بيانات الدفع. يجب أن يكون المصطلح الشامل "Magecart" المعطى لهذه الهجمات من قبل محللي RiskIQ أوسع من ذلك. هناك العديد من المجموعات التي تستخدم عائلات متميزة من JS Sniffers قادرة على استهداف المتاجر عبر الإنترنت. نظرًا لأنه في بعض الحالات يصعب تحديد عدد الأشخاص الذين يستخدمون الشم ، يصفهم خبراء Group-IB بالعائلات وليس المجموعات. كل عائلة من JS Sniffers لها خصائص فريدة وتتطلب تحليلاً مفصلاً ، ”- يقول ديمتري فولكوف.
كشفت Group-IB ، وهي شركة دولية متخصصة في منع الهجمات الإلكترونية ، عن رمز خبيث مصمم لسرقة بيانات دفع العملاء في سبعة متاجر عبر الإنترنت في المملكة المتحدة والولايات المتحدة.
اكتشف فريق Group-IB's Threat Intelligence لأول مرة الكائنات المعدلة وراثيًا على موقع FILA UK. تم اكتشاف الشفرة الخبيثة في أوائل مارس 2019. في أثناء إجراء مزيد من الأبحاث ، تم الكشف عن أن GMO JS Sniffer من المفترض أنها تقوم بجمع بيانات دفع العملاء منذ نوفمبر 2018. طبقًا لموقع Alexa.com ، فإن عدد fila.co [.] uk يقدر عدد الزوار الشهري الفريد بحوالي 140 ألف زائر شهريًا. وفقًا لـ IRP ، شركة أبحاث السوق في المملكة المتحدة ، فإن الحد الأدنى للتحويل إلى الشراء لتجارة الأزياء والملابس يساوي 1٪. باستخدام تقديرات متحفظة للغاية ، كان من المحتمل أن يكون قد تم سرقة الدفعات والتفاصيل الشخصية لما لا يقل عن 5600 عميل من قِبل مجرمي الإنترنت - كل من قام بشراء سلع على fila.co.uk منذ نوفمبر 2018 قد تعرض بياناته للخطر. عادةً ، بعد سرقة بيانات العميل ، يتم إعادة بيعها عادةً على البطاقات الورقية. هناك مخطط آخر لسحب الأموال ينطوي على استخدام بطاقات مخفضة لشراء سلع ثمينة ، على سبيل المثال الالكترونيات ، للبيع فصاعدا. "يقوم رمز سرقة البطاقة أحادية الخط بتنزيل JavaScript Sniffer بمجرد هبوط العميل على صفحة الخروج ، والتي تعترض بيانات بطاقة الائتمان وترسلها إلى التخزين المحلي. بعد ذلك ، يتم إرسال تفاصيل بطاقات الدفع إلى بوابة JS Sniffer الموجودة على نفس الخادم كبرنامج JS Sniffer نفسه. ربما قام مجرمو الإنترنت بحقن رمز خبيث من خلال استغلال ثغرة أمنية في Magento CMS (نظام إدارة المحتوى) ، أو استخدامه من قِبل FILA.co.uk ، أو ببساطة عن طريق المساس بأوراق اعتماد مسؤول الموقع باستخدام برامج تجسس خاصة أو كسر كلمة المرور بطرق القوة الغاشمة " - تعليقات ديمتري فولكوف ، رئيس قسم تقنية المعلومات ورئيس الاستخبارات في Group-IB. "أطلقنا على هذه الكائنات الحية المعدلة وراثيا JS Sniffer لأن البرمجيات الخبيثة تستخدم gmo [.] li host."
ليست هناك تعليقات:
إرسال تعليق