Magecart hacker grupları yakın zamanda Magento ve WooCommerce gibi popüler e-ticaret platformlarını hedef alan gizli bir kampanya başlattı. Bu saldırı dalgası, aralarında gıda ve perakende sektöründeki büyük şirketlerin de bulunduğu çok sayıda kurbanı tuzağa düşürdü.
Magecart saldırıları, bilgisayar korsanlarının web sitelerinden kişisel verileri çalmak için çevrimiçi tarama tekniklerini kullandığı bir siber saldırı biçimidir. Bu genellikle çevrimiçi ödemeleri kolaylaştıran platformlardan müşteri ayrıntılarını ve kredi kartı bilgilerini içerir.
“Magecart” adı, orijinal hedeflerinden, perakendeci siteler için ödeme ve alışveriş sepeti işlevselliği sağlamada önemli bir oyuncu olan Magento platformundan kaynaklanmaktadır.
Magecart Siber Saldırı Kampanyası Açıklaması
Saldırganlar son dönemdeki bu kampanyada garip bir yaklaşım sergilediler. Web sitelerindeki güvenlik açıklarından yararlanmak veya üçüncü taraf hizmetlerinden ödün vermek yerine, doğrudan kurbanın kaynaklarına kötü amaçlı kod enjekte ettiler.
Bu kod, HTML sayfalarının veya web sitesinin birinci taraf komut dosyalarının içinde gizlenir. Bir yükleyici, ana kötü amaçlı kod ve veri sızıntısından oluşan bu üç parçalı saldırı yapısı, tam saldırı akışının yalnızca özel olarak hedeflenen sayfalarda etkinleştirilmesini sağlar. Bu, güvenlik araçları tarafından tespit edilmesini oldukça zorlaştırır.
Kampanya üç farklı varyasyonda ortaya çıkıyor. İlk varyasyon, saldırganların önde gelen bir web sitesine kodlanmış JavaScript yükleyicileri yerleştirmesini içerir. Gizlenmiş Base64 kodlu kötü amaçlı yükleyiciyle bağlanmış hatalı biçimlendirilmiş bir HTML resim etiketi, skimmer’ın standart güvenlik protokollerini atlamasına izin verdi. Etkinleştirildiğinde, tarayıcı ile saldırganın komuta ve kontrol sunucusu arasındaki iletişimi sağlayan bir WebSocket kanalı kurulur.
Bir sonraki versiyonda, varyant, Facebook Meta Piksel izleme hizmetini taklit eden, ancak ek kötü amaçlı satırlar içeren bir satır içi komut dosyası sundu. Skimmer, sitenin dizininden kötü amaçlı kod içerecek şekilde değiştirilmiş bir PNG görseli aldı.
Üçüncü varyasyonda, yükleyicinin yürütülmesi, görünüşte zararsız olan ‘simgeler’ etiketli bir yola bir getirme isteğini tetikledi. Ancak bu yol web sitesinde mevcut olmadığından “404 Bulunamadı” hatası oluştu. Daha yakından incelendiğinde, döndürülen 404 HTML’de, Base64 kodlu uzun bir dizenin yanı sıra “COOKIE_ANNOT” dizesini içeren gizli bir yorum ortaya çıktı. Bu dizenin kodunun çözülmesi, gizlenmiş JavaScript saldırı kodunun tamamını ortaya çıkardı.
Magecart siber saldırı kampanyasının bilgesi
Magecart saldırıları, başta ödeme kartı verileri olmak üzere hassas bilgileri çalmayı amaçlayan çevrimiçi işletmeler için önemli bir tehdit oluşturuyor. Tarayıcı içinde çalışan bu kötü amaçlı kod, genellikle perakendecinin web sitesindeki meşru kod içinde gizlenerek geleneksel güvenlik önlemlerinden kaçar.
Magecart saldırılarının etkileri geniş kapsamlıdır; kişisel bilgilerin çalınmasını, gelir kaybını, daha fazla bulaşmayı ve yasal ve uyumluluk sonuçlarını kapsar. Bu saldırılar kalıcıdır ve önceden virüs bulaşmış beş e-ticaret mağazasından birine birkaç gün içinde yeniden virüs bulaşmıştır.
Bu son Magecart siber saldırı kampanyası, web tarama tekniklerinin giderek daha karmaşık hale geldiğini, güvenlik ekipleri için algılamayı ve azaltmayı daha zorlu hale getirdiğini ve hem kuruluştan hem de kullanıcılardan gelen hassas verileri engellediğini vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.