WooCommerce, WordPress ve Shopify, Web Skimmer Saldırısında Kullanıldı
Siber güvenlik araştırmacıları, e-ticaret web sitelerinden kişisel olarak tanımlanabilir bilgileri (KTB) ve kredi kartı verilerini çalmak üzere tasarlanmış, devam etmekte olan yeni bir Magecart tarzı web tarama kampanyası ortaya çıkardılar.
Onu diğer Magecart kampanyalarından ayıran dikkate değer bir husus, mağdur sitelerin bilgisi olmadan kötü amaçlı kodların dağıtımını kolaylaştırmak için “geçici” komuta ve kontrol (C2) sunucuları olarak hizmet etmesidir.
Web güvenlik şirketi Akamai, Kuzey Amerika, Latin Amerika ve Avrupa’da çeşitli büyüklükteki kurbanları tespit ettiğini ve potansiyel olarak binlerce site ziyaretçisinin kişisel verilerinin yasadışı karlar için toplanıp satılma riskine girdiğini söyledi.
Akamai güvenlik araştırmacısı Roman Lvovsky, “Saldırganlar, kampanya sırasında Base64’ü şaşırtmak ve saldırıyı Google Analytics veya Google Etiket Yöneticisi gibi popüler üçüncü taraf hizmetlerine benzemek için maskelemek de dahil olmak üzere bir dizi kgizlenme tekniği kullanıyor” dedi.
Fikir, özetle, savunmasız meşru siteleri ihlal etmek ve bunları web skimmer kodunu barındırmak için kullanmak, böylece orijinal alanların iyi itibarını kendi avantajlarına kullanmaktır. Bazı durumlarda saldırılar yaklaşık bir aydır devam ediyor.
“Saldırganlar, kötü amaçlı bir etki alanı olarak işaretlenebilecek kötü amaçlı kodları barındırmak için saldırganların kendi C2 sunucusunu kullanmak yerine, küçük veya orta ölçekli bir perakende web sitesi gibi savunmasız, meşru bir siteye girer (güvenlik açıklarını veya elindeki diğer araçları kullanarak) ve kodlarını içinde saklar.
Saldırıların sonucu iki tür kurbandır: kötü amaçlı yazılımlar için bir “dağıtım merkezi” görevi görmesi için tehlikeye atılan meşru siteler ve dolandırıcıların hedefi olan savunmasız e-ticaret web siteleri.
Bazı durumlarda, web siteleri yalnızca veri hırsızlığına maruz kalmaz, aynı zamanda farkında olmadan kötü amaçlı yazılımı diğer duyarlı web sitelerine yaymak için bir araç görevi görür.
Lvovsky, “Bu saldırı, artan çeşitlilikteki güvenlik açıklarını ve kötüye kullanılabilir dijital ticaret platformlarını gösteren Magento, WooCommerce, WordPress ve Shopify istismarını içeriyordu” dedi.
Web sitelerinin zaman içinde topladığı yerleşik güvenden yararlanarak, teknik, bu tür saldırıları tanımlamayı ve bunlara yanıt vermeyi zorlaştıran bir “engelleme” oluşturur.
İlginizi Çekebilecek Yazımız: QBot Kötü Amaçlı Yazılımı, Windows Wordpad’i Hedef Alıyor
Kampanya ayrıca tespit edilmekten kaçınmak için başka yöntemler de benimsiyor. Bu, gerçek niyetlerini gizlemek için skimmer kodunu Google Etiket Yöneticisi veya Facebook Pikseli gibi üçüncü taraf hizmetleri olarak kamufle etmeyi içerir.
Kullanılan diğer bir numara, JavaScript kod parçacıklarının, ana bilgisayar kurbanı web sitesinden tam saldırı kodunu almak için yükleyici olarak işlev görmesi ve böylece ayak izini ve tespit olasılığını en aza indirmesidir.
İki farklı varyantta gelen kafa karıştırıcı skimmer kodu, KTB ve kredi kartı bilgilerini, bir HTTP isteği üzerinden kodlanmış bir dize olarak, aktör tarafından kontrol edilen bir sunucuya kesmek ve çıkarmak için donatılmıştır.
Lvovsky, “Çıkış, çıkıştan geçen her kullanıcı için yalnızca bir kez gerçekleşecek” dedi. “Bir kullanıcının bilgileri çalındığında, komut dosyası, bilgileri iki kez çalmadığından emin olmak için tarayıcıyı işaretler (şüpheli ağ trafiğini azaltmak için). Bu, bu Magecart tarzı saldırının kaçınıcılığını daha da artırır.
WooCommerce WordPress ve Shopify kullanan kişiler dikkat etmeli.
Haber Kaynağı: The Hacker News