Swap dosyası sistemin RAM’inin tutamayacağı verileri sakladığından, bu içerikler genellikle parolalar, şifreleme anahtarları ve oturum verileri gibi kritik verileri içerir ve bu nedenle saldırganlar sıklıkla Swap dosyalarını hedef alırlar.
Böylece saldırganlar, sistemin aktif belleğine doğrudan erişmelerine gerek kalmadan Swap dosyasını kullanarak önemli verilere erişip bunları çıkarabiliyorlar.
Sucuri araştırmacılarının yakın zamanda yaptığı bir araştırma, bir web sitesinin takas dosyasını kullanarak Magento e-ticaret platformunda kalıcı bir kredi kartı kopyalama yazılımı oluşturmanın mümkün olduğunu gösterdi.
Hackerlar Kötüye Kullanım Takas Dosyası
Bu yaratıcı yöntem, kötü amaçlı yazılımın birden fazla kaldırma girişiminden sağ çıkmasını sağladı.
Ödeme sayfasında kaynak koduyla ilgili bir güvenlik açığı tespit edildi; ikili ve onaltılık dönüştürülmüş karakterler gibi işaretlere sahip bazı kötü amaçlı scriptler bulundu.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
Bu dosyaların şifresinin çözülmesi, kredi kartı bilgilerini ele geçirme niyetini ortaya koydu; bu da tehdit aktörlerinin zararsız sistem parçalarını bile suç araçlarına dönüştürebileceği anlamına geliyor.
Tehlikeye atılmış bir ödeme sayfasında kötü amaçlı bir komut dosyası varsa, özel olarak tanımlanmış bir düğme kredi kartı verilerini yakalayabilir.
Kart bilgileri, isim ve adres gibi hassas bilgiler querySelectorAll kullanılarak toplanır.
Şubat 2024’te kredi kartı hırsızlığıyla ilişkilendirilmişti ve ayrıca amazon-analytic alan adı[.]O zamanlar kayıtlı olan com.
Bunun yanı sıra tehdit aktörleri tanınmamak için popüler marka isimlerini de kullanabiliyorlar ve bu da onların taktiklerinden biri.
Bir Magento sitesinde, bootstrap.php dosyası tehlikeye atılmıştı ve base64 kodlu bir kredi kartı kopyalama yazılımı içeriyordu; ancak silinip yeniden başlatıldıktan sonra bile çalışmaya devam ediyordu.
Bunun sebebi SSH düzenlemesi sonucu ortaya çıkan bootstrap.php-swapme isimli görünmeyen bir ticaret dosyasıydı.
Bu yöntem, kötü amaçlı yazılım bulaşmış sistemin tespit edilmekten kurtulmasını ve tüm temizleme işlemlerinden sağ çıkmasını sağladı.
Saldırganlar kendilerini sunucuya gömülü tutmak için takas dosyası mekanizmasını kullandılar. Bu gizli takas dosyasını kaldırdıktan ve önbellekleri temizledikten sonra, ödeme sayfası temizlendi, Sucuri raporunda yazıyor.
Kapsamlı güvenlik önlemlerine duyulan ihtiyacı vurgulamak için kalıcı takas dosyaları kötü amaçlı yazılımlar tarafından istismar edilmektedir.
Örneğin, bu saldırıyı muhtemelen SSH başlatmış ve bu da yönetici erişiminin güvenilir IP’lere kısıtlanmasının önemini vurgulamıştır.
Alınabilecek en önemli önlemler arasında web sitesi güvenlik duvarı kurmak, içerik yönetim sistemlerini ve eklentileri düzenli olarak güncellemek ve yönetici panellerine erişimi kısıtlamak yer alıyor.
Bunu kendiniz yapmak istemiyorsanız, enfekte olmuş bölgeleri temizlemenize yardımcı olacak profesyonel temizlik hizmetlerinden veya kendin yap kılavuzlarından yararlanabilirsiniz.
Bu durum, tehdit aktörlerinin sistemlerdeki gizli işlevleri nasıl istismar ettiğini gösteriyor ve çok katmanlı güvenliğe sahip e-ticaret ortamlarına olan ihtiyacı vurguluyor.
Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.