E-ticaret Web Sitelerine Saldıran Yeni Skimmer Kötü Amaçlı Yazılımı


Yeni Skimmer Kötü Amaçlı Yazılımı, Kredi Kartı Verilerini Çalmak İçin E-ticaret Web Sitelerine Saldırıyor

Araştırmacılar, WordPress, Magento ve OpenCart da dahil olmak üzere birden fazla içerik yönetim sistemini (CMS) hedef alan Caesar Cipher Skimmer adlı yeni bir kredi kartı kopyalama saldırısı türünü tespit etti.

Saldırı, kötü amaçlı yükünü gizlemek için gizlenmiş dizelerden ve Sezar Şifreleme tekniğinden yararlandığından, skimmer özellikle ödeme sürecini hedef alıyor ve ödeme PHP dosyasına kötü amaçlı kod enjekte ediyor. Bu, yeni skimmer’ların çeşitli platformlarda konuşlandırılması nadir olduğundan önemli bir bulgudur. platformlar aynı anda

Kredi kartı skimmer enfeksiyonu için SiteCheck web sitesi kötü amaçlı yazılım tespiti.

Bir müşteri, WooCommerce ödeme sayfasında kredi kartı hırsızlığı bildirdi; burada yapılan bir araştırma, WooCommerce ödeme sayfasında hayati bir rol oynayan yakın tarihli bir tehdit raporuna göre, 2023’te ortak bir hedef olan form-checkout.php komut dosyasına kötü amaçlı yazılım enjekte edildiğini ortaya çıkardı. saldırganların kredi kartı bilgilerini çalmasının etkili bir yoludur.

Son gtag skimmer enjeksiyonlarında saldırganlar, kötü amaçlı kodu gizlemek için bir Caesar Şifreleme tekniği kullanıyorlar. Bu teknik, kod dizesini ayrı karakterlere bölmeyi, sırayı tersine çevirmeyi ve daha sonra her karakterin unicode değerinden belirli bir değeri (örneğin 3) çıkarmayı içeriyor.

Dizeyi tek tek karakterlere böler

Değiştirilen karakter kodları tekrar karakterlere dönüştürülür ve bir dize halinde yeniden birleştirilir; bu, komut dosyasının ilk bakışta daha az şüpheli görünmesini sağlar, ancak String.fromCharCode’un kullanımı ve karışık karakterlerin varlığı, güvenlik uzmanları için yine de tehlike işaretleri olabilir.

Verilen karartılmış dizeler önce birleştirilip tek tek karakterlere ayrılıyor, daha sonra ters çevriliyor. Karakter kodlama standardı olan Unicode ise her karaktere sayısal bir değer atıyor.

Daha sonra str_rot13 fonksiyonu, her karakterin değerini sabit bir miktarda kaydıran basit bir şifreleme yöntemi olan Sezar Şifresini kullanır.

Sezar Şifresi

Kötü amaçlı yazılım yazarları, etki alanı URL’sinin her bir Unicode karakterinden 3 değerini çıkararak kötü amaçlı yük etki alanını gizlemek için Caesar Şifreleme tekniğini kullanıyor; bu da, kötü amaçlı etki alanı antivirüs yazılımının ve güvenlik sağlayıcılarının tespit edilmesini zorlaştırıyor.

Kötü amaçlı yazılım daha sonra daha fazla talimat almak için WebSocket aracılığıyla uzak bir sunucuya bağlanır.

Kötü amaçlı yazılımın bazı sürümleri, oturum açmış WordPress kullanıcılarını bile tanımlayabilir ve skimmer davranışını buna göre değiştirebilir. Kötü amaçlı yazılım komut dosyasındaki kod yorumları, geliştiricilerin Rusça konuştuğunu gösteriyor.

geliştiricilerin Rusça konuştuğunu ortaya koyan yorumlar var.

Sucuri’ye göre e-ticaret platformlarını hedef alan kötü amaçlı yazılımlar WordPress, Magento ve Opencart’ta bulundu.

Saldırganlar, WordPress sitelerindeki WooCommerce’in form-checkout.php dosyasındaki ve Insert Headers and Footers WPCode eklentisindeki güvenlik açıklarından yararlanıyor.

Magento için, özel kodun kredi kartını tarayan JavaScript’i depoladığı core_config_data tablosunu hedefliyorlar. OpenCart enfeksiyonu henüz gözlemlenmemiş ancak kötü amaçlı yazılımın konumu araştırılıyor.



Source link