Yakın zamanda keşfedilen bir kredi kartı hırsızlığı operasyonu olan Magecart, otantik web sitelerini derme çatma C2 sunucuları olarak kullanarak yenilikçi bir yaklaşım benimsemiştir.
Bu strateji, belirli e-ticaret web sitelerine yasa dışı bir şekilde göz gezdirme amaçlı kötü amaçlı yazılım yerleştirmelerini ve gizlemelerini sağlar.
Ödeme işlemi sırasında bilgisayar korsanları, çevrimiçi mağazaları ihlal ederek ve müşterilerin kredi kartı bilgilerini ve kişisel bilgilerini gizlice toplamak için tasarlanmış kötü amaçlı komut dosyaları yerleştirerek bir Magecart saldırısı gerçekleştirir.
Büyük Ölçekli ve Uzun Süreli Saldırı
Akamai’nin araştırmacıları tarafından bu özel kampanya üzerinde yürütülen özenli izleme uyarınca, sonraki ülkelerdeki çok sayıda kuruluş uzlaşma kurbanı oldu:-
- Birleşik Devletler
- Birleşik Krallık
- Avustralya
- Brezilya
- Peru
- Estonya
Buna ek olarak, siber güvenlik firması, birçok kurbanın bir aydan uzun bir süredir ele geçirilmiş oldukları gerçeğinden habersiz kaldığına dair kayda değer bir gözlemin altını çiziyor ve bu da bu saldırıların gizli doğasını gösteriyor.
Web’de gezinme saldırıları, dijital ticaret alanında faaliyet gösteren kuruluşlar için ciddi zarar ve olumsuz sonuçlar doğurma potansiyeli taşıyan önemli tehditler oluşturur.
Akamai’deki siber güvenlik analistleri, tehdit aktörlerinin birkaç büyük platformdan yararlandığını tespit etti ve bunların arasında en önemlilerinden bahsettik:-
- magento
- WooCommerce
- wordpress
- Shopify
Saldırı Altyapısı
Bu kampanyanın çarpıcı bir yönü, saldırganların altyapısının, web’de gezinme kampanyasını dikkate değer bir etkinlikle düzenlemek için özel olarak tasarlanmış titiz düzenlemesinde yatmaktadır.
Saldırganlar, potansiyel olarak kötü amaçlı bir etki alanı olarak şüphe uyandırabilecek kendi komuta ve kontrol (C2) sunucularına güvenmek yerine, geleneksel yöntemlerden stratejik bir şekilde ayrılarak farklı bir yaklaşım benimsiyor.
Güvenlik açıklarından yararlanarak veya mevcut herhangi bir yöntemi kullanarak, kötü amaçlı kodlarını gizlice gömdükleri küçük veya orta ölçekli perakende platformları olmak üzere, hassas ve meşru web sitelerine sızarlar.
Özünde, bu kampanya ikili bir etki yaratarak iki farklı kurban grubuna yol açar ve işte bunlar:-
- Kurbanları ağırlamak
- Web tarama kurbanları
Akamai araştırmacıları, araştırmaları sırasında, tümü yalnızca ticaret odaklı platformlarla ilgili olan, birincil hedef olarak işlev gören sınırlı sayıda web sitesi belirledi.
İstismar edilen ana bilgisayar web siteleri, kötü amaçlı kod için ana bilgisayar olarak kullanılır ve kullanıcı bilgilerinin çalınmasına yol açan Magecart tarzı bir web gözden geçirme saldırısına tabi tutulur.
Saldırının gizliliği, tehdit aktörlerinin skimmer’ı Base64 kodlamasıyla şaşırtması, barındırıcının URL’sini gizlemesi ve şüpheyi en aza indirgemek için Google Etiket Yöneticisi veya Facebook Pixel gibi güvenilir üçüncü taraf hizmetlerine benzeyecek şekilde yapılandırmasıyla artırılır.
Saldırgan, bu yaklaşımla tespitten kaçmayı ve tespit edilmeden kalmayı amaçlayan üç farklı teknik uygular ve bunlar aşağıda belirtilmiştir:-
Saldırıda kullanılan etki alanı gizlenmiştir, bu da onu izlemeyi ve tanımlamayı zorlaştırır.
Yükleyici, gerçek bir üçüncü taraf komut dosyası veya satıcı kılığına girerek gerçek kötü niyetini gizler.
Saldırgan, kodun önemli bir bölümünü alternatif kaynaklardan tedarik ederek sayfaya enjekte edilen kötü amaçlı kodun hacmini en aza indirerek tespit olasılığını önemli ölçüde azaltır.
Veri Hırsızlığı Analizi
Saldırgan, hata ayıklamayı ve araştırmayı engellemek için gizleme kullanır ve kasıtlı olarak saldırının tam sırasını anlamayı zorlaştırır; bu, son yıllarda giderek daha popüler hale gelen çeşitli web gözden geçirme saldırılarında yaygın olarak benimsenen bir uygulamadır.
İlk sürüm, müşterinin PII’sini ve kredi kartı bilgilerini yakalamak için hedeflenen her site için özel olarak tasarlanmış CSS seçicilerin özelleştirilmiş bir listesini içeren oldukça karmaşık bir formdur.
Sıyırıcının ikinci varyantı daha az korumaya sahipti ve yanlışlıkla kodundaki temel göstergeleri açığa çıkardı.
Bu önemli ipuçları, Akamai’nin kampanyanın etkisinin boyutunu etkili bir şekilde haritalamasına ve başka kurbanlar keşfetmesine olanak sağladı.
Müşterilerin bilgilerinin başarılı bir şekilde çıkarılmasının ardından, skimmers, çalınan verileri tehdit aktörünün kontrolünde sunucuya iletir.
Bu iletim, skimmer içine yerleştirilmiş bir IMG etiketi olarak titizlikle hazırlanmış bir HTTP isteği aracılığıyla kolaylaştırılırken.
Base64 kodlaması, iletim sırasında verileri gizlemek için kullanılırken, web sitesi sahipleri yönetici hesaplarını güvence altına alarak ve CMS ile eklentileri güncelleyerek Magecart enfeksiyonlarını önleyebilir ve müşteriler aşağıdaki yöntemleri kullanarak verilerin açığa çıkma riskini azaltabilir:-
- Elektronik ödeme yöntemleri
- sanal kartlar
- Kredi kartı ücret limitlerini belirleme
öneriler
Burada Aşağıda tüm önerilerden bahsettik: –
- Güvenlik uzmanlarının en son yamalarla güncel kalmaları ve bir Web Uygulaması Güvenlik Duvarı (WAF) kullanarak güvenlik önlemlerini geliştirmeleri önerilir.
- Web tarayıcılarında yürütülen komut dosyalarının faaliyetlerine ilişkin içgörüler sunan ve istemci tarafı saldırılara karşı güçlü koruma sağlayan özel güvenlik çözümlerinin uygulanmasını sağlayın.
- Hızlı ve verimli etki azaltma önlemlerini mümkün kılmak için kritik olayların ve öngörülü verilerin kapsamlı bir şekilde toplanmasını ve ihtiyatlı bir şekilde izlenmesini sağlayın.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin