اكتشاف خبراء أمن المعلومات لرمز خبيث مخفي في صورة SVG صغيرة وتزييف صفحة الدفع الآمنة
تمكن خبراء أمن من العثور على أدلة على وجود أدوات احتيال داخل مواقع تجارة إلكترونية مخترقة، حيث اكتشفوا رمزاً خبيثاً مخفياً في صورة صغيرة من نوع SVG بحجم 1×1 بكسل. هذا الرمز يستخدم لسرقة بيانات بطاقات الائتمان بطريقة غير مرئية للمستخدمين.
كيفية عمل الرمز الخبيث
وصف الباحثون أن الرمز الخبيث مخفي داخل عنصر SVG يتم تحميله عبر حدث onload في كود HTML الخاص بالموقع. يتضمن هذا الحدث حمولة خبيثة مشفرة بصيغة base64، تُفك تشفيرها وتُنفذ بشكل مباشر دون الحاجة إلى روابط خارجية، مما يصعب اكتشافه بواسطة أدوات الفحص الأمني التقليدية.
عند محاولة المستخدمين إتمام عملية الشراء، تظهر لهم طبقة مزيفة عنوانها “الدفع الآمن” تتضمن حقول لبيانات البطاقة ونموذج للفوترة. أي معلومات يقدّمها المستخدمون تُرسل بشكل مشفر إلى خادم يتحكم فيه المهاجمون، باستخدام تقنية XOR وتشفير base64، مما يصعب على برامج الحماية التعرف على البيانات المرسلة.
انتشار الهجمات ومصدرها
حدد الباحثون ستة نطاقات على الإنترنت، جميعها مقرها في هولندا، تُستخدم في جمع البيانات المسروقة من الضحايا، حيث استُخدمت كل منها لجمع بيانات من حوالي 15 ضحية بشكل تقريبي.
أما عن طريقة الاختراق، فتشير التحليلات إلى أن الثغرة المحتملة التي استغلها المهاجمون هي ثغرة PolyShell، والتي تؤثر على نسخ مستقرة من منصة Magento Open Source وAdobe Commerce، والتي أُكتشفت في منتصف مارس من هذا العام. وكان فريق Sansec هو من اكتشف هذه الثغرة، وحذر من هجمات مستمرة استُخدمت فيها هذه الثغرة لشن هجمات واسعة النطاق.
تحديثات وإجراءات وقائية
على الرغم من أن شركة Adobe أصدرت تصحيحاً لهذه الثغرة، إلا أن الإصلاح كان متاحاً فقط في نسخة alpha الثانية من الإصدار 2.4.9، مما يعني أن النسخ المستخدمة في بيئة الإنتاج لا تزال عرضة للخطر.
يوصي خبراء الأمن المستخدمين بمراقبة المواقع التي يشتبه في وجود صور SVG مخفية فيها، بالإضافة إلى مراقبة ومنع حركة المرور القادمة من خوادم المهاجمين، لحماية البيانات الشخصية من السرقة.
ختاماً، تظل الثغرة والتقنيات المستخدمة فيها تهديداً كبيراً لمواقع التجارة الإلكترونية، ويؤكد الخبراء على أهمية تحديث الأنظمة الأمنية باستمرار وتوخي الحذر أثناء عمليات الشراء عبر الإنترنت.