Çok aşamalı bir kartlama saldırısı, modası geçmiş bir sürüm 1.9.2.4 çalıştıran bir Magento e-ticaret web sitesini hedefleyen ortaya çıktı.
Haziran 2020’den beri Adobe tarafından desteklenmeyen bu sürüm, eşleştirilmemiş güvenlik kusurları nedeniyle siteyi savunmasız bıraktı.
Kötü amaçlı yazılım, aldatıcı bir .GIF dosyası, kurcalanmış tarayıcı oturumStorgeage verileri ve kredi kartı ayrıntılarını, giriş bilgilerini, çerezleri, çerezleri ve diğer hassas bilgileri çalmak için kötü amaçlı bir ters proxy sunucu kullanmıştır.
.png
)
Uygun kart girişini ve siparişin tamamlanmasını önleyerek sitenin ödeme sürecini bozan saldırı, Magento 2 gibi yeni sürümlere geçişin hem maliyetli hem de zaman yoğun olabileceği Magento gibi karmaşık platformlarda yazılım güncellemelerini ihmal etmenin kritik risklerini vurgular.
Karmaşık Saldırı Mekanizması: Sahte GIF’ler ve Ters Proxy Taktikleri
Enfeksiyon, ödeme sayfasındaki meşru Bing UET izleme etiketleri arasında yerleşik şüpheli JavaScript kodu ile başladı.
Daha yakından incelendiğinde, gizlenmiş dize manipülasyonu yoluyla dinamik olarak oluşturulan bir Magento dizin yoluna gizli bir referans ortaya koydu (örneğin, “bing” gibi tuzak terimlerini görmezden gelirken “rep” ve “dantel”).
Bu, bir görüntü yerine kötü niyetli bir PHP komut dosyası içeren sahte bir dosya yoluna yol açtı.
Gizli “Backend_url” ın kodunu çözmek, ters bir proxy’yi düzenleyen uzak bir sunucuya (217.12.207.38) işaret etti.
Kullanıcı kimliğini maskeleyen düzenli bir proxy veya VPN’den farklı olarak, bu ters proxy, tüm site trafik yakalama başlıkları, veriler, çerezler ve oturum belirteçleri ile müdahale etti ve meşru alan etkileşimlerini taklit eden yanıtları yeniden yazdı.
Bu, müdahaleyi, arka uç sunucusunun kimliğinin gizli kalmasını sağlayan kurcalanmış konum başlıkları ve çerezleri ile kullanıcılar ve yöneticiler için neredeyse görünmez hale getirdi.
Ayrıca, ödeme şablonu dosyasına (onestepcheccout.phtml) ikincil bir enjeksiyon, oturum sonrası yükleri tetiklemek için tarayıcının useragent dizesinden türetilen kullanıcıya özgü bir anahtar kullandı ve kalıcı izler sonrası kalıcı izler bırakmadan kart hırsızlığı düzenli bir şekilde yürüttü.
Güvenlik ve azaltma önlemleri için acil çağrı
Sucuri raporuna göre, bu Magecart tarzı saldırı, e-ticaret platformları için, özellikle Magento 1 gibi kullanımdan kaldırılmış sistemlerde olanlar için kalıcı tehdidin altını çiziyor.
Sunucu tarafı ters proxy müdahalesini istemci tarafı Oturum SessionStorage sömürüsüyle birleştiren kötü amaçlı yazılımların çok katmanlı yaklaşımı, tehdit aktörlerinin gelişmiş planlamasını gösterir.
Web sitesi yöneticileri için olay, temel güncellemelere ve güvenlik yamalarına öncelik vermek, Magento 2 gibi desteklenen platformlara geçiş yapmak ve bu tür saldırıları engellemek için Web Uygulama Güvenlik Duvarları’nı (WAFS) dağıtmak için keskin bir hatırlatmadır.
Teknik uzmanlığa sahip olmayan küçük işletme sahiplerine, müşteri güvenini korumak ve ortak satın alma uzlaşma noktası olarak tanımlandığı için VISA gibi ödeme işlemcilerinden cezalardan kaçınmak için güvenlik uzmanlarını işe almaları istenir.
Alışveriş yapanlar için, Sitecheck’in eski platformları ortaya çıkarabileceği gibi, tarayıcı güvenlik eklentileri ve komut dosyası blokerleri kötü amaçlı JavaScript’e karşı daha fazla koruma sağlar.
Nihayetinde, bu dava kritik bir uyarı görevi görür: e -ticaret güvenliğini ihmal etmek sadece müşteri verilerini tehlikeye atmakla kalmaz, aynı zamanda giderek artan siber tehditler çağında ciddi itibar ve finansal hasar riskiyle karşı karşıyadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!