Magecart şemsiyesi altındaki bir saldırgan, ABD, İngiltere ve diğer beş ülkedeki bilinmeyen sayıda e-ticaret sitesine, bu sitelerde alışveriş yapan kişilere ait kredi kartı numaralarını ve kişisel olarak tanımlanabilir bilgileri (PII) gözden geçirmek için kötü amaçlı yazılım bulaştırdı. Ancak yeni bir kırışıkta, tehdit aktörü aynı zamanda ana bilgisayarlarla aynı siteleri kart gözden geçirme kötü amaçlı yazılımını diğer hedef sitelere iletmek için kullanıyor.
Devam eden kampanyayı fark eden Akamai’den araştırmacılar, bunun yalnızca kampanyayı önceki Magecart faaliyetlerinden farklı kılmakla kalmayıp, aynı zamanda çok daha tehlikeli olduğunu belirtiyorlar.
Siber saldırıların en az bir aydır devam ettiğini ve şimdiden on binlerce insanı potansiyel olarak etkilediğini değerlendiriyorlar. Akamai, ABD ve İngiltere’nin yanı sıra Brezilya, İspanya, Estonya, Avustralya ve Peru’da kampanyadan etkilenen web siteleri tespit ettiğini söyledi.
Ödeme Kartı Hırsızlığı ve Daha Fazlası: Çifte Uzlaşma
Magecart, çevrimiçi ödeme kartlarını gözden geçirme saldırılarına karışan siber suçlu gruplarından oluşan gevşek bir topluluktur. Geçtiğimiz birkaç yıl boyunca, bu gruplar aynı adı taşıyan kart skimmers’larını dünya çapında on binlerce siteye enjekte ettiler – TicketMaster ve British Airways gibi siteler dahil – ve onlardan milyonlarca kredi kartı çaldılar ve daha sonra farklı şekillerde para kazandılar.
Akamai, geçen yıl 9.200 e-ticaret sitesine yapılan Magecart saldırılarını saydı ve bunların 2.468’i 2022 sonu itibarıyla virüslü kaldı.
Tipik Kullanma usulü, çalışma şekli çünkü bu gruplar, bilinen güvenlik açıklarından yararlanarak meşru e-ticaret sitelerine – veya sitelerin kullandığı izleyiciler ve alışveriş sepetleri gibi üçüncü taraf bileşenlerine – gizlice kötü amaçlı kod enjekte etmek olmuştur. Kullanıcılar güvenliği ihlal edilmiş web sitelerinin ödeme sayfasına kredi kartı bilgilerini ve diğer hassas verileri girdiklerinde, bilgi hırsızları verileri sessizce yakalar ve uzak bir sunucuya gönderir. Şimdiye kadar saldırganlar, Magecart saldırılarında öncelikle açık kaynak Magento e-ticaret platformunu çalıştıran siteleri hedef aldı.
En son kampanya, saldırganın hedef sitelere yalnızca bir Magecart kart skimmer enjekte etmesi değil, aynı zamanda kötü amaçlı kod dağıtmak için birçoğunu ele geçirmesi bakımından biraz farklıdır.
Akamai analizine göre “Meşru web sitesi etki alanlarını kullanmanın birincil avantajlarından biri, bu etki alanlarının zaman içinde oluşturduğu doğal güvendir.” “Güvenlik hizmetleri ve alan puanlama sistemleri, tipik olarak, olumlu bir sicile ve meşru kullanım geçmişine sahip alanlara daha yüksek güven seviyeleri atar. Sonuç olarak, bu alanlar altında yürütülen kötü niyetli faaliyetlerin tespit edilmeme veya otomatikleştirilmiş kişiler tarafından zararsız muamele görme şansı artar. güvenlik sistemi.”
Ek olarak, en son operasyonun arkasındaki saldırgan, yalnızca Magento’yu değil, WooCommerce, Shopify ve WordPress gibi diğer yazılımları çalıştıran sitelere de saldırıyor.
Farklı Bir Yaklaşım, Aynı Sonuç
Akamai araştırmacısı Roman Lvovsky, blog gönderisinde “Kampanyanın en dikkate değer kısımlarından biri, saldırganların web gözden geçirme kampanyasını yürütmek için altyapılarını kurma şeklidir.” “Kampanya ciddi bir şekilde başlamadan önce, saldırganlar savunmasız web sitelerini daha sonra web skimming saldırısını oluşturmak için kullanılan kötü amaçlı kod için ‘ana bilgisayar’ olarak arayacaklar.”
Akamai’nin kampanya analizi, saldırganın kötü niyetli etkinliği gizlemek için birden fazla numara kullandığını gösterdi. Örneğin, Akamai, tarayıcıyı doğrudan bir hedef web sitesine enjekte etmek yerine, saldırganın web sayfalarına küçük bir JavaScript kod parçacığı enjekte ettiğini ve bunun ardından kötü amaçlı tarayıcıyı bir ana web sitesinden getirdiğini gördü.
Saldırgan, JavaScript yükleyiciyi Google Etiket Yöneticisi, Facebook Piksel izleme kodu ve diğer meşru üçüncü taraf hizmetleri gibi görünecek şekilde tasarladı, bu nedenle tespit edilmesi zorlaşıyor. Devam eden Magecart benzeri kampanyanın operatörü, skimmer’ı barındıran güvenliği ihlal edilmiş web sitelerinin URL’lerini gizlemek için Base64 kodlamasını da kullanıyor.
Lvovsky, “Çalınan verileri dışarı sızdırma işlemi, skimmer kodu içinde bir IMG etiketi oluşturarak başlatılan basit bir HTTP isteği aracılığıyla yürütülür” diye yazdı. “Çalınan veriler daha sonra talebe bir Base64 dizesi olarak kodlanmış sorgu parametreleri olarak eklenir.”
Akamai, gelişmiş bir ayrıntı olarak, kötü amaçlı yazılım skimmer’da, aynı kredi kartını ve kişisel bilgileri iki kez çalmamasını sağlayan bir kod da buldu.