Η νέα επίθεση Magecart κλέβει πιστωτικές κάρτες πελατών από τις σελίδες ολοκλήρωσης αγοράς στον ιστότοπο

Μια εξελιγμένη καμπάνια web-skimming που στοχεύει τους online αγοραστές εμφανίστηκε με ανανεωμένη ένταση το 2026, διακυβεύοντας ιστότοπους ηλεκτρονικού εμπορίου και εξάγοντας ευαίσθητες πληροφορίες πληρωμών κατά τις διαδικασίες ολοκλήρωσης αγοράς.

Η επίθεση, που αναγνωρίστηκε ως μέρος της ευρύτερης οικογένειας απειλών Magecart, αντιπροσωπεύει μια εξελισσόμενη πρόκληση για την ασφάλεια λιανικής στο διαδίκτυο.

Οι ερευνητές απειλών έχουν τεκμηριώσει εκτεταμένες υποδομές που σχετίζονται με αυτή τη μακροχρόνια εκστρατεία, η οποία λειτουργεί τουλάχιστον από τις αρχές του 2022.

Το κακόβουλο δίκτυο στοχεύει σημαντικούς παρόχους πληρωμών, συμπεριλαμβανομένων των American Express, Diners Club, Discover, Mastercard, JCB και UnionPay, επηρεάζοντας δυνητικά εκατομμύρια πελάτες παγκοσμίως.

Η επίθεση πραγματοποιείται μέσω της ένεσης JavaScript, όπου ο κακόβουλος κώδικας ενσωματώνεται σε νόμιμους ιστότοπους ηλεκτρονικού εμπορίου χωρίς να προκαλεί προφανείς ειδοποιήσεις ασφαλείας.

Μόλις εισαχθεί, ο κωδικός παραμένει αδρανής έως ότου οι επισκέπτες φτάσουν στη σελίδα ολοκλήρωσης αγοράς, οπότε και ξεκινά το ωφέλιμο φορτίο κλοπής διαπιστευτηρίων.

Η υποδομή βασίζεται σε παραβιασμένους τομείς και αλεξίσφαιρους παρόχους φιλοξενίας για να διατηρήσει την επιμονή και να αποφύγει τον εντοπισμό.

Αναλυτές και ερευνητές Silent Push διάσημος ότι οι εισβολείς έχουν προηγμένη γνώση των εσωτερικών στοιχείων του WordPress, αξιοποιώντας λιγότερο γνωστές λειτουργίες, όπως wp_enqueue_scripts, για να ενσωματώσουν κακόβουλα σενάρια στη διαδικασία απόδοσης ιστότοπου.

Η τεχνική πολυπλοκότητα έγκειται στο πώς το κακόβουλο λογισμικό δημιουργεί μια πειστική πρόσοψη κατά τη διαδικασία πληρωμής.

Ο skimmer δημιουργεί ένα MutationObserver για την παρακολούθηση των αλλαγών της ιστοσελίδας σε πραγματικό χρόνο, διασφαλίζοντας τη συνεχή παρακολούθηση του περιβάλλοντος της φόρμας πληρωμής.

Στη συνέχεια, κρύβει τη νόμιμη φόρμα πληρωμής Stripe και εισάγει μια σχεδόν πανομοιότυπη ψεύτικη φόρμα που καταγράφει αριθμούς καρτών, ημερομηνίες λήξης, κωδικούς CVV και πληροφορίες χρέωσης.

Η ψεύτικη φόρμα περιλαμβάνει λογική ανίχνευσης επωνυμίας που αναγνωρίζει τύπους καρτών και εμφανίζει αντίστοιχες εικόνες επωνυμίας, ενισχύοντας τη νομιμότητα στα θύματα.

Εξελιγμένος Μηχανισμός Εξαγωγής Δεδομένων

Η διαδικασία συλλογής δεδομένων καταγράφει περισσότερα από τα στοιχεία πληρωμής. Το κακόβουλο λογισμικό παρακολουθεί κάθε πεδίο εισαγωγής στη σελίδα ολοκλήρωσης αγοράς, συγκομίζει ονόματα, διευθύνσεις και πληροφορίες email.

Μόλις τα θύματα συμπληρώσουν τη φόρμα και κάνουν κλικ στο κουμπί Τοποθέτηση παραγγελίας, το skimmer συγκεντρώνει όλα τα δεδομένα που συλλέγονται σε ένα δομημένο αντικείμενο, εφαρμόζει κρυπτογράφηση XOR με ένα σκληρό κωδικό κλειδί 777 και το κωδικοποιεί σε μορφή Base64.

Το κρυπτογραφημένο ωφέλιμο φορτίο μεταδίδεται στη συνέχεια μέσω αιτήματος HTTP POST σε διακομιστές διείσδυσης που βρίσκονται σε παραβιασμένη υποδομή.

Η επίθεση εκμεταλλεύεται την ψυχολογία των χρηστών εμφανίζοντας σφάλματα πληρωμής μετά την υποβολή της φόρμας, παραπλανώντας τα θύματα να πιστέψουν ότι εισήγαγαν εσφαλμένες πληροφορίες.

Οι ανυποψίαστοι πελάτες συνήθως εισάγουν ξανά τα διαπιστευτήρια στη νόμιμη φόρμα, ολοκληρώνοντας την αγορά τους με επιτυχία, ενώ δεν γνωρίζουν ότι τα δεδομένα τους έχουν ήδη κλαπεί.

Αυτή η ψυχολογική χειραγώγηση αυξάνει δραματικά τα ποσοστά επιτυχίας της επίθεσης αποφεύγοντας την υποψία.

Το κακόβουλο λογισμικό περιλαμβάνει τακτικές αποφυγής που εντοπίζουν την κατάσταση διαχειριστή του WordPress μέσω του στοιχείου της γραμμής διαχειριστή και απενεργοποιείται αυτόματα όταν οι διαχειριστές βλέπουν τον ιστότοπο, επεκτείνοντας σημαντικά τη λειτουργική διάρκεια ζωής της καμπάνιας.

Οι ερευνητές ασφαλείας προβλέπουν ότι αυτή η πολυετής απειλή θα συνεχίσει να στοχεύει ευάλωτα ηλεκτρονικά καταστήματα καθ’ όλη τη διάρκεια του 2026.