חדשות מג'נטו

אתר Sucuri מדווח על כך כי במהלך החודשים האחרונים נצפו מספר סקריפטים לגניבת כרטיסי אשראי באתרי מג'נטו. סקריפטים אלו משתמשים בווריאציות של השם Google Analytics וסקריפט Angular כדי לגרום להם להיראות פחות חשודים ולמנוע מבעלי אתרי מג'נטו לשים לב אליהם.

 

הקוד מוזרק לתוך קבצי JS לגיטימיים והוא מעלה סקריפט אחר מכתובת הדומה מאד לכתובת של גוגל אנליטיקס. סקריפט זה נועד לגנוב פרטי כרטיסי אשראי מטפסי תשלום בקופת אתר מג'נטו. סקריפט זדוני זה מכיל מילות מפתח שונות הנראות במבט ראשון רלוונטיות ל- JavaScript framework, מילות מפתח כגון: Angular.io, algularToken, angularCdn, angularPages. אולם! בדיקה קפדנית של מילות מפתח אלו מגלה כי הוחלפו אותיות על מנת להטעות את בעלי אתרי מג'נטו ומפתחי מג'נטו ולמנוע מהם לשים לב לסקריפט הזדוני.

 

סקריפט ה- Angular המזויף מוזרק לתוך בסיס הנתונים של מג'נטו וניתן לזהות אותו בקוד המקור של דפי html של אתרי מג'נטו אשר ניזוקו מהסקריפט. בנקודה זו יש לציין כי הקוד הזדוני הנדון עלול לפגוע גם במערכות ניהול תוכן אחרות אשר מפעילות סל קניות ותשלום בקופה, מערכות ניהול תוכן כמו וורדפרס וג'ומלה.

 

התקפה זו מראה רמה משמעותית של התאמה אישית שבה התוקפים נקטו גישה אישית אך עקבית מאוד לכל אתר שנפגע. לכל אתר יועדה מערכת משלו של סקריפטים מוזרקים, מילות מפתח מטעות ושמות קבצים - וריאציות ייחודיות של ערפול. יחד עם זאת, בכל רמה התוקפים מנסים ליצור רושם שהם עושים משהו מועיל כמו קשורים לגוגל אנליטיקס, מעקב אחר המרות של אתר מנג'טו, או הצבת הקוד במסגרות JS לגיטימיות. מתקפה זו מדגימה את החשיבות של בקרת קבצים המאוחסנים בשרת ושל רשומות בבסיסי הנתונים, בייחוד אלו האמונים על יצירת דפים On The Fly ועיבוד תשלומים מקוונים בכרטיסי אשראי.