Kart Yok Dolandırıcılık , Dolandırıcılık Yönetimi ve Siber Suçlar
MageCart Operatörleri Enfeksiyonu Yasal Ödeme İşleme Yazılımında Gizliyor
Rashmi Ramesh (rashmiramesh_) •
23 Mart 2023
Güvenlik araştırmaları, bilgisayar korsanlarının, ödeme kartı ayrıntılarını ele geçirmek ve çalmak için popüler bir e-ticaret eklentisi kullanan WordPress web sitelerine saldırmak için kredi kartı çalan kötü amaçlı yazılımı yeniden tasarladığı konusunda uyarıyor.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Web sitesi güvenlik firması Sucuri, saldırganların değiştirilmiş MageCart kötü amaçlı yazılımını WooCommerce alışveriş sepeti eklentisini kullanan WordPress web sitelerine karşı dağıttığını söylüyor. WordPress eklenti geliştiricileri Barn2, “bilinen tüm çevrimiçi mağazaların” %40’ından fazlasının eklentiyi kullandığını hesaplıyor.
Sucuri’nin güvenliği ihlal edilmiş e-ticaret ortamlarında bulduğu kredi kartını gözden geçiren kötü amaçlı yazılımların “ezici çoğunluğu” WooCommerce’i hedefler. Değiştirilen MageCart, PHP kodunu bir eklenti dosyasına enjekte ederek ödeme verilerinin Visa’ya ait popüler bir ödeme ağ geçidi olan Authorize.net’e işlenmesini kolaylaştırır ve genellikle WooCommerce ile birlikte kullanılır. Enjekte edilen kod, virüslü web sitelerinden gelen web trafiğinin ödeme kartı numaraları için bir dizi içerip içermediğini kontrol eder. Varsa, kart numarasının şifrelenmiş bir kopyasını bir .jpg daha sonra indirmek için dosya.
Sucuri, “Çalıntı kredi kartı bilgilerini bir görüntü dosyasına boşaltmak, saldırganların birkaç yıldır yaptığını tespit ettiğimiz eski bir numaradır” diye yazıyor.
Sucuri, söz konusu güvenlik açıklarının WooCommerce veya Authorize.net’ten kaynaklanmadığını ve bunun yerine iyi bir web sitesi güvenliğinin önemini vurguladığını söylüyor.
Değiştirilmiş MageCart kötü amaçlı yazılımı ayrıca, kart sahibinin adı, adresi, telefon numarası ve posta kodu gibi verileri – karaborsada çalınan ödeme kartı verilerinin değerini artıran veriler – yakalamak için ödeme ağ geçidi koduna JavaScript enjekte eder.
Sucuri, kötü amaçlı yazılımın tespit edilmekten kaçınmak için WordPress Heartbeat API’sini taklit ettiğini söylüyor. MageCart, adını orijinal hedefi olan Magento e-ticaret platformundan alır. Bilgisayar korsanları bunu British Airways’i, güvenli olmayan Amazon Web Services bulut depolama hesaplarını ve Claire’s mücevher zincirini ihlal etmek için kullandı.
Sucuri, değiştirilmiş MageCart kötü amaçlı yazılımını, bir müşterinin bankasından, müşteri web sitesinde yasal olarak kullanılan kartların daha sonra hileli bir şekilde kullanılması nedeniyle web sitelerinin potansiyel olarak tehlikeye atıldığına dair bir uyarı almasının ardından bulduğunu söyledi.
Sucuri, “Kötü niyetli aktörler bir ortamı tehlikeye atarsa, mevcut denetimleri kurcalayabilirler,” diyor Sucuri.