İstemci tarafı saldırılarında tehlikeli bir evrime işaret eden karmaşık ve kapsamlı bir Magecart kampanyası ortaya çıkarıldı.
Güvenlik araştırmacıları, düzinelerce e-ticaret platformunda ödeme ve hesap oluşturma akışlarını ele geçirmek için 50’den fazla farklı kötü amaçlı komut dosyası kullanan küresel bir operasyon tespit etti.
Verileri “dinleyen” geleneksel gözden geçirme saldırılarının aksine, bu kampanya, modern güvenlik kontrollerini atlayacak şekilde tasarlanmış modüler, yerelleştirilmiş verilerle kullanıcı deneyimini etkin bir şekilde manipüle ediyor.
Kampanya, yüksek derecede kişiselleştirme özelliğiyle dikkat çekiyor. Saldırganlar, aralarında Stripe, Mollie, PagSeguro, OnePay ve PayPal’ın da bulunduğu çok çeşitli ödeme ağ geçitleri için özel veriler geliştirdi.
Kötü amaçlı yazılım, herkese uyan tek boyutlu bir skimmer yerine, kullanılan ödeme işlemcisini algılar ve eşleşen bir “sahte” ödeme formu dağıtır.
Örneğin, kod analizi, meşru Stripe iframe’lerini (blockStripe()) engellemek ve güvenli ödeme penceresinin yüklenmesini engellemek için açıkça tasarlanmış bir işlevi ortaya koyuyor.
Bunun yerine kötü amaçlı yazılım, hassas verileri ödeme sağlayıcısı tarafından şifrelenmeden önce yakalayan görsel olarak aynı bir kimlik avı iframe’i enjekte ediyor.
Gelişmiş Adli Tıp ve Kaçınma
Bu kampanyanın arkasındaki operatörler, güvenlik tarayıcıları ve araştırmacılar tarafından tespit edilmekten kaçınmak için önemli adli tıp önleme yeteneklerini entegre etti.
En endişe verici olanı, bu kampanyanın basit kredi kartı hırsızlığından tam kimlik ihlaline doğru stratejik bir değişime işaret etmesi.
Belgelenen bazı örneklerde saldırganlar, kurbanın e-ticaret CMS’sinde hileli yönetici hesapları oluşturmak için çalıntı kimlik bilgilerini kullanmış ve böylece ilk enjeksiyon güvenlik açığı kapatılsa bile erişime devam etmelerini sağlamıştır.
Komut dosyaları yalnızca ödeme verilerini değil aynı zamanda oturum açma kimlik bilgilerini, kişisel tanımlanabilir bilgileri (PII) ve hesap kurtarma ayrıntılarını da toplamak için tasarlanmıştır.
Bu veri toplama, Hesap Devralma (ATO) saldırılarına olanak tanır ve tehdit aktörlerinin uzun vadeli kalıcılık oluşturmasına olanak tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.