Bilgi hırsızı, diğer sitelere saldırmak için yasal siteleri tehlikeye atar

   Haziran 6, 2023  Posted in MalwareBytes


Yeni bir web gözden geçirme kampanyası, güvenliği ihlal edilmiş meşru siteleri komuta ve kontrol sunucuları olarak hareket etmek için kullanıyor.

Akamai’deki güvenlik araştırmacıları, gizliliği ihlal edilmiş yasal siteleri komuta ve kontrol (C2) sunucuları olarak kullanan yeni bir Magecart benzeri web gözden geçirme kampanyası hakkında bir blog yayınladı.

Bir web skimmer, sitenin müşterilerinden kişisel olarak tanımlanabilir bilgileri (PII) ve kredi kartı bilgilerini çalmak için web ödeme sayfalarına yerleştirilmiş kötü amaçlı bir kod parçasıdır.

Kod istemci tarafında yürütüldüğünden, web uygulaması güvenlik duvarları (WAF’ler) ve sunucuyu güvende tutmak için diğer önlemler tarafından alınmayacağından, kötü niyetli davranışın web sitesinin sahibi tarafından tespit edilmesi zordur.

Bu kampanya, trafiğin gerçekmiş gibi görünmesini sağlamak için yasal ancak güvenliği ihlal edilmiş sitelere dayandığından farklıdır. Bu siteler normalde meşru işletmeler olarak çalıştıklarından, bir kurbanla bağlantı kurarken şüphe uyandırma olasılıkları daha düşüktür. Hedef siteler, Magento, WooCommerce, WordPress ve Shopify gibi dijital içerik yönetim sistemlerini çalıştırıyor, ancak çeşitli güvenlik açıkları içeriyor.

Akamai araştırmacıları, mağdur olan çok sayıda dijital ticaret web sitesini ortaya çıkardı ve bu kapsamlı kampanyanın bir parçası olarak istismar edilen başka meşru web siteleri olduğunu varsaymanın makul olduğunu söylüyor.

Kurban kuruluşlarından bazıları ayda yüz binlerce ziyaretçi görüyor ve bu da potansiyel olarak binlerce kurbanın kredi kartı verilerinin ve PII’lerinin çalınmasına neden olabilir. Özellikle de kampanya bir aya yakın bir süredir mağdurların çoğu tarafından fark edilmeden devam ettiği için.

Bu kampanyada iki tür mağdur site vardı:

  • Kurbanları ağırlamak: Saldırıda kullanılan kötü amaçlı kodu barındırmak amacıyla ele geçirilen meşru web siteleri. Saldırgan tarafından kontrol edilen bir sunucu gibi davranmak için ele geçirilirler.
  • Web tarama kurbanları: Saldırganlar, saldırı kodunu doğrudan web sitesinin kaynaklarına enjekte etmek yerine, saldırı kodunun tamamını kurban ana bilgisayar web sitesinden almak için yükleyiciler olarak küçük JavaScript kod parçacıkları kullanır.

Bazı durumlarda, istismar edilen ana bilgisayar web sitelerinin her iki şekilde de kötüye kullanıldığı görülmektedir.

Web gözden geçirme kurbanlarında kullanılan kod, Google Etiket Yöneticisi veya Facebook Piksel gibi popüler üçüncü taraf hizmetleri gibi görünecek şekilde tasarlanmıştır. Bu yöntem, kötü amaçlı kodun gerçek niyetini gizleyerek sorunsuz bir şekilde karışmasına yardımcı olduğu için web tarayıcıları arasında popülerdir.

Özetle CMS güvenliği

Müşterilerinizin PII ve kredi kartı bilgilerini etrafa yaymak itibarınıza çok zarar verebilir, bu nedenle web sitenizi güvenli bir şekilde ziyaret edip kullanabileceklerinden emin olmanız önemlidir.

Güvenliğinizden ödün vermeden bir CMS kullanmak istiyorsanız aklınızda bulundurmanız gereken birkaç bariz ve hatırlaması kolay kural vardır:

  • Hem işlevselliği hem de güvenliği göz önünde bulundurarak CMS’nizi seçin
  • Eklentilerinizi akıllıca seçin
  • Mümkün olan en kısa sürede güncelleyin
  • Sitenizdeki değişiklikleri ve kaynak kodlarını takip edin
  • 2FA kullan
  • Kullanıcı izinlerini (ve erişim düzeylerini) çokça düşünün
  • SQL enjeksiyonuna karşı dikkatli olun
  • Yüklemelere izin verirseniz, dosya türlerini çalıştırılamaz dosyalarla sınırlayın ve bunları yakından izleyin.

Daha da fazla güvenlik gerektiren web siteleri için, incelemek isteyebileceğiniz özel güvenlik açığı tarayıcıları ve uygulama güvenlik duvarları vardır. Bu, özellikle web sitenizi bozmak veya kötüye kullanmak isteyen insanlar için popüler bir hedefseniz geçerlidir.

CMS kendi sunucularınızda barındırılıyorsa, bu kurulumun bazı ek riskler getirdiği tehlikelerin farkında olun. Web sitesi sunucusunu diğer iş sunucularından ayrı tutmak için ağ bölümlemesini kullanın.

IOC’ler

Malwarebytes Browser Guard, çalınan verilerin alıcı etki alanlarını engeller:

byvlsa.com

chatwareopenalgroup.net

Malwarebytes, chatwareopenalgroup.net'i engeller

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.

ŞİMDİ DENE



Source link