Tehdit avcıları, eski bir uygulama programlama arayüzünden (API) ödeme işlemcisi çizgisinden, atılmadan önce çalınan ödeme bilgilerini doğrulamak için eski bir uygulama programlama arayüzünden (API) yararlanan sofistike bir Web Shimmer kampanyası uyarıyor.
JScrambler araştırmacıları Pedro Fortuna, David Alves ve Pedro Marrucho bir raporda, “Bu taktik, sadece geçerli kart verilerinin saldırganlara gönderilmesini sağlıyor.
49 tüccarın kampanyadan bugüne kadar etkilendiği tahmin edilmektedir. Geri ihlal edilen sahaların on beşi kötü amaçlı komut dosyası enjeksiyonlarını kaldırmak için harekete geçti. Etkinliğin en az 20 Ağustos 2024’ten beri devam ettiği değerlendirilmektedir.
Kampanyanın detayları ilk olarak Şubat 2025’in sonuna doğru güvenlik firması kaynak savunması tarafından işaretlendi ve web skimmer’ın “api.stripe[.]Com/V1/Kaynaklar “API, uygulamaların çeşitli ödeme yöntemlerini kabul etmesine izin veriyor. Son nokta o zamandan beri yeni PaybesMethods API lehine kullanımdan kaldırıldı.
Saldırı zincirleri, JavaScript Skimmer için, sipariş ödeme sayfalarında meşru ödeme formunu kesmek ve gizlemek, meşru şerit ödeme ekranının bir kopyasını sunmak, kaynak API’sını kullanarak doğrulamak ve daha sonra Base64-Çizilmiş Format’ta bir uzak sunucuya iletmek için tasarlanmış başlangıç dağıtım noktası olarak kötü niyetli alanlar kullanır.
JScrambler, operasyonun arkasındaki tehdit aktörlerinin muhtemelen ilk aşama komut dosyasını implante etmek için WooCommerce, WordPress ve Prestashop’taki güvenlik açıklarından ve yanlış yapılandırmalardan yararlandığını söyledi. Bu yükleyici komut dosyası, Base64 kodlu bir sonraki aşamayı deşifre etmeye ve başlatmaya hizmet eder, bu da Skimmer’a işaret eden URL’yi içerir.
Araştırmacılar, “Yoklama senaryosu meşru şerit iframe gizliyor ve görünüşünü taklit etmek için tasarlanmış kötü niyetli biriyle kaplıyor.” Dedi. “Aynı zamanda gerçek olanı gizleyerek ‘Yer Siparişi’ düğmesini klonlıyor.”
Ayrıntılar açıklandıktan sonra, kullanıcılar sayfaları yeniden yüklemelerini isteyen bir hata mesajı görüntülenir. Komut dosyasının, hedeflenen her siteye göre uyarlanmış gibi görünmesi nedeniyle son skimmer yükünün bir tür araç kullanılarak oluşturulduğunu gösteren bazı kanıtlar vardır.
Güvenlik şirketi ayrıca, kare bir ödeme formunu taklit eden skimmer komut dosyalarını ortaya çıkardığını ve tehdit aktörlerinin muhtemelen birkaç ödeme hizmeti sağlayıcısını hedeflediğini düşündürdü. Ve hepsi bu değil. Yoklama kodu, bitcoin, eter (Ethereum), tether ve litecoin gibi kripto para birimleri kullanarak başka ödeme seçenekleri eklenmiştir.
Araştırmacılar, “Bu sofistike web sıyırma kampanyası, saldırganların tespit edilmemek için kullandıkları gelişen taktikleri vurgulamaktadır.” Dedi. “Ve bir bonus olarak, geçersiz kredi kartı verilerini etkili bir şekilde filtreleyerek yalnızca geçerli kimlik bilgilerinin çalınmasını sağlıyorlar.”