Bu işlemin arkasındaki tehdit aktörü, kodunu gizlemek için açık kaynaklı bir JavaScript karartıcı kullanıyor.
Tehdit aktörleri, kodlarını ikili paketleyicilerden karartıcılara kadar çeşitli şekillerde gizlemeye çalışmakla ünlüdür. Kendi başlarına, bu araçlar her zaman kötü niyetli değildir, çünkü işlerini korsanlıktan korumak isteyen şirketler veya kişiler tarafından da kullanılabilirler, ancak genel olarak büyük ölçüde suistimal edilme eğilimindedirler.
İstemci tarafı saldırılarda kredi kartı korsanları söz konusu olduğunda, kod tanımlamayı daha zor hale getirebildikleri için karartıcılar yaygın bir olaydır. Savunucuların genellikle ya tarayıcının hata ayıklayıcısına güvenip kodda adım adım ilerleme ya da statik olarak tersine çevirmeyi deneme seçeneği vardır. İkincisi oldukça zaman alıcı olma eğilimindedir, ancak kötü amaçlı yazılım yazarı hata ayıklamayı önleme rutinleri eklerse birincisi genellikle sorunlu olabilir.
Bugün, bir PHP Javascript karartıcı olan Hunter kullanan bir Magecart skimmer’a bakıyoruz. Araştırmamız sırasında, birkaç Magento mağazası için özel skimmer’lara sahip aynı altyapının parçası olan birkaç alan keşfettik.
E-ticaret sitelerinde ilk enjeksiyon
Saldırı 2 adıma dayanır: Birincisi, web sitesinin kaynağına enjekte edilen ve uzak bir URL’yi çağıran koddur. Bu URL, karşılığında, ödeme alma sürecinde skimmer’ı yükler.
Bazı statik öğeleri ve benzersiz şekilde oluşturulmuş diğerlerini içeren büyük bir kod bloğu fark ettik. ‘değerlendirmekKodun ‘ kısmı, rastgele görünen dizgenin bazı yönergeleri döndürmek için dinamik olarak işlendiğinin açık bir kanıtıdır.
(h,u,n,t,e,r) işlevi, bu karartıcının Hunter olarak adlandırıldığını ve GitHub’da mevcut olduğunu belirlememize yardımcı olur. Gizlenmiş dizenin kodunu çözmek için, içeriğini basitçe yazabiliriz. değerlendirmek ve bir URL’yi işaret eden tek bir JavaScript satırı elde ederiz.
Bu URL, Hunter tarafından bir kez daha karıştırılan kod içeriyor. Bu sefer, şifresini kaldırdığımızda, kredi kartı alanlarına atıfta bulunan formlarla HTML kodu gibi görünen bir şey görüyoruz. Bu gerçek skimmer.
Ödeme sayfasında skimmer
Güvenliği ihlal edilmiş bir çevrimiçi mağazada alışveriş yapan bir kurban ödeme yapmak için gittiğinde, iletişim formuna normalde orada olmayan ek alanlar eklenecektir. Aşağıda, skimmer yüklenmeden bir mağazanın yasal ödeme sayfası verilmiştir:
Ödeme işleminin sağ alt tarafta olduğunu görebiliriz. Buna karşılık, skimmer yüklendiğinde aynı sayfa şöyle görünür:
Müşterinin e-posta adresi ile adı arasına ek alanlar eklendi. Bu durumda, tehdit aktörü pek iyi bir iş çıkarmadı çünkü alanlar İngilizce, geri kalanı İspanyolca.
Çalınacak kredi kartı verileri kodlanır, ardından bir tanımlama bilgisi içinde saklanır ve daha sonra bir POST isteği yoluyla dışarı sızar.
altyapı
Porkbun’a kayıtlı skimmer alanlarının tümü, 193.201.9.116 (ASN49505) adresinde aynı sunucuda barındırılıyor gibi görünüyor:
Uygun yönlendirenle bir GET isteği oluşturarak, halen çözümlenmekte olan alanlardan herhangi birinin skimmer kodunun kendi sürümünü göstermesini sağlayabiliriz:
Hunter obfuscator kullanışlıdır, ancak tersine çevirmesi oldukça kolaydır ve bu nedenle minimum gizlilik yetenekleri sağlar. Skimmer koduna göre bu, muhtemelen yüzden az mağazayla sınırlı çok karmaşık bir saldırı değil. Ancak, bu tür bir karartma kullanan bir Magecart skimmer ile ilk kez karşılaştık ve çoğu uç nokta güvenlik ürünü, istemci tarafı JavaScript’i algılamıyor.
Malwarebytes müşterileri, End Protection (EP), Endpoint Detection and Response (EDR) ve Malwarebytes Premium’daki web korumamız aracılığıyla bu kampanyaya karşı korunur.
Uzlaşma Göstergeleri
Ev sahibi:
193.201.9.116
Skimmer alanları:
1537 yıl[.]vızıltı
1537li[.]vızıltı
1537lx[.]vızıltı
1568la[.]vızıltı
1568li[.]vızıltı
1568lx[.]vızıltı
1599 yıl[.]vızıltı
1599li[.]vızıltı
1599lx[.]vızıltı
1599lz[.]vızıltı
uygulama bulutu1[.]vızıltı
uygulama bulutu19[.]vızıltı
uygulama bulutu2[.]vızıltı
uygulama bulutu20[.]vızıltı
uygulama bulutu3[.]vızıltı
uygulama bulutu5[.]vızıltı
araboxtv[.]sbs
kör bahis[.]sbs
bubapeq[.]arayış
geliştirme uzantısı[.]bulut
geliştirme uzantısı[.]bir
geliştirme uzantısı[.]biz
hedeya[.]sbs
hedeya[.]sbs
ilham kaynağı[.]sbs
toprak ana laboratuvarları[.]sbs
nasa sunucuları[.]sbs
yeni varış[.]arayış
en önemli kimyasallar[.]sbs
pekart[.]sbs
çare dijital[.]sbs
roboshop[.]sbs
ağrısız dükkan[.]sbs
hışırtı[.]sbs
köşe mağazası[.]sbs
aşırı havalı[.]sbs