Magecart tehdit aktörü ikna edici modal formlar sunar


Kötü amaçlı kopya orijinalinden daha iyi olduğunda, bireyleri hatalı duruma sokmak zordur. Bu kredi kartı skimmer, hemen hemen herkesi kandırmak için yapıldı.

Suçlular, yeni kurbanları tuzağa düşürmek için genellikle olabildiğince gerçekçi görünmeye çalışan planlar tasarlar. Bununla birlikte, sahte kopyanın orijinal parçayı geçtiğini her gün görmüyoruz.

Devam etmekte olan bir Magecart kredi kartı korsanlığı kampanyasını takip ederken, gerçek olduğunu düşündüğümüz kadar iyi yapılmış görünen bir ödeme formu tarafından neredeyse kandırılıyorduk. Tehdit aktörü, güvenliği ihlal edilmiş mağazanın orijinal logolarını kullandı ve ödeme sayfasını mükemmel bir şekilde ele geçirmek için modal olarak bilinen bir web öğesini özelleştirdi.

Çerçeve veya katman ekleme tekniği yeni olmasa da, burada dikkat çekici olan şey, skimmer’ın orijinal ödeme sayfasından daha gerçekçi görünmesidir. Aynı ısmarlama ve hileli modal kullanma modeline sahip, güvenliği ihlal edilmiş birkaç site daha gözlemleyebildik.

Bu skimmer ve ilişkili kampanyalar, son aylarda izlediğimiz en aktif Magecart saldırılarından birini temsil ediyor.

Sorunsuz ödeme

PrestaShop CMS’de çalışan Paris’teki bir seyahat aksesuarları mağazası için ele geçirilmiş bir çevrimiçi web sitesi belirledik. Daha önce Kritec olarak tanımladığımız bir skimmer enjekte edildi ve ödeme sürecini değiştiren kötü amaçlı JavaScript yükledi. Aşağıdaki bölümde, skimmer aktif olduğunda ve olmadığında ödeme sürecini karşılaştıracağız.

Hileli ödeme formu

Burada gördüğümüz, geçerli aktif sayfanın önünde görüntülenen bir web sayfası öğesi olan ‘modal’ kullanımıdır. Modal, kullanıcının sunulan öğe yerine odaklanabilmesi için arka planı devre dışı bırakır ve grileştirir. Bu, web sitesi sahiplerinin müşterilerini aynı web sitesinde tutmaları ve başka bir formla etkileşime girmeleri için zarif bir yoldur.

Şekil 1: Güvenliği ihlal edilmiş mağaza, sahte ödeme yöntemini yüklüyor

Sorun şu ki, bu yöntem tamamen sahte ve kredi kartı verilerini çalmak için tasarlanmış. Her şeyin orijinal markaya ve sitenin havasına uygun olduğu düşünüldüğünde inanmak zor gelebilir. Neden sahtekarlık olduğunu daha fazla araştırmadan önce, aynı çevrimiçi mağazanın deniz süpürücü devre dışı bırakıldığında bir göz atacağız.

Gerçek (gerçek) ödeme şekli

Bu meşru sıralamayı görebilmek için öncelikle e-ticaret sayfasını talep ederken skimmer’ı engellememiz gerekiyordu. Bizim durumumuzda, skimmer’ın barındırıldığı kötü amaçlı alanla olan bağlantıyı engelledik. Sonuç olarak, web sitesi orijinal ödeme formunun ne olması gerektiğini (uzlaşmadan önce) gösterecektir.

Şekil 2: Aynı mağazanın gizliliği ihlal edilmediğinde meşru ödeme şekli

Bu satıcı için gerçek ödeme akışı, kullanıcıları artık bir Fransız ödeme çözümleri şirketi olan Payplug’un bir parçası olan Dalenys tarafından barındırılan bir üçüncü taraf işlemciye yönlendirmektir. Dolayısıyla, bir modal görüntülemek yerine, kullanıcının bankacılık bilgilerini girmesine izin vermek için ödeme işlemcisi için web sayfasını yükler. Bu doğrulandıktan sonra, onları satıcı sayfasına geri götürür.

Kötü niyetli modal

Kötü amaçlı mod çok temiz bir şekilde oluşturulmuştur ve mağazanın logosunu ortada görüntüleyen ve ardından onu tekrar yukarı taşıyan bir animasyon içerir. Kredi verilmesi gereken yerde kredi vermeliyiz: Bu, aslında mağazanın varsayılanından daha sorunsuz bir kullanıcı deneyimi olan çok iyi yapılmış bir skimmer. Kötü amaçlı yazılımın yazarının yalnızca web tasarımı konusunda bilgili olmadığını, ayrıca her form alanı için uygun dili (Fransızca) kullandığını da not etmeliyiz.

Şekil 3: Sahte modala daha yakından bir bakış

Ancak, köprüde küçük bir hata fark ettik. Gizlilik Politikası (kullanım Şartları). Bu bağlantı, Güney Amerika’da kullanılan bir ödeme işlemcisi olan Mercardo Pago’nun kullanım koşullarına yönlendirir. Tehdit aktörü, verileri önceki bir şablondan kopyalamış ve hatasını fark etmemiş olabilir. Bu sadece bir detaydır ve deniz süpürücünün işlevselliğini hiçbir şekilde etkilemez.

Modun tehdit aktörü tarafından oluşturulduğunu doğrulamak için skimmer kaynak kodunda bu hatalı köprüyü aramaya çalışabiliriz. Sıyırıcı oldukça karmaşıktır ve oldukça karmaşıktır, ancak HTML içeriğinin dinamik olarak oluşturulduğunu ve bir süreçten geçtiğini görebiliriz. decodeURIComponent rutin.

Şekil 4: Modal ile bağlantıyı ortaya çıkarmak için skimmer’dan kod çıkarma

Modal yüklenene kadar kodu adım adım ilerletirsek, HTML içeriğine karşılık gelen Base64 değerini yakalayabiliriz. Elimizdeki bir tanesini düz metne dönüştürebiliriz ve sonunda mercadopago’ya yapılan referansı görebiliriz; bu, skimmer’ın bu güzel kipi işleyen kişi olduğunun kanıtıdır. Aslında, her şeyin v.ECPay adlı bir iframe olduğunu görebiliriz:

Şekil 5: Kipi görüntülemek için skimmer tarafından oluşturulan iframe

Tam ödeme akışı

Ödeme akışını, gizliliği ihlal edilmiş mağaza aracılığıyla alışveriş yapan bir müşterinin bakış açısıyla yeniden oluşturduk. Kredi kartı ödeme seçeneğini seçtikten sonra kötü niyetli modelin yüklendiğini ve ödeme kartı bilgilerini toplayacağını görebiliriz.

Ardından, kullanıcı gerçek ödeme URL’sine yönlendirilmeden önce kısa bir süre için “votre paiment a été annulé” (ödemeniz iptal edildi) sahte bir hata görüntülenir:

Şekil 6: Skimmer etkinken ödeme süreci akışı

İkinci denemede ödeme yapılacak ve kurbanlar az önce olanlardan habersiz olacak.

Skimmer, geçerli oturumun artık tamamlandı olarak işaretlendiğinin bir göstergesi olarak hizmet edecek bir tanımlama bilgisi bırakacaktır. Kullanıcı geri dönüp ödemeyi tekrar denerse, kötü niyetli model artık gösterilmeyecektir (bunun yerine, harici işlemci Dalenys tarafından yapılan gerçek ödeme yöntemi kullanılacaktır).

Şekil 7: Veriler çalındıktan sonra skimmer tarafından düşen çerez

Devam eden gizli kampanyalar

Artık bu Kritec skimmer’ın, Google Etiket Yöneticisi komut dosyasına kötü amaçlı kodun yerleştirildiği savunmasız web sitelerine yapılan enjeksiyonlarla aynı tavizlerin parçası olduğuna inanıyoruz. Bu kampanyalara birden fazla tehdit aktörünün dahil olması ve yağmacıları buna göre özelleştirmesi mümkündür.

Saldırıya uğrayan birçok mağazanın jenerik bir skimmer’ı olsa da, görünüşe göre özel modeller oldukça yakın bir zamanda, belki bir veya iki ay önce geliştirildi. Tehdit aktörü, skimmer’ı barındırmak için farklı etki alanları kullanıyor ancak bunları benzer şekilde adlandırıyor: [name of store]-loader.js.

Binlerce e-ticaret sitesini taradık ve farklı dillerde daha fazla dolandırıcılık yöntemi bulduk.

Şekil 8: Sahte modele sahip bir Hollanda e-ticaret sitesi

Şekil 9: Sahte modele sahip bir Finlandiya e-ticaret sitesi

Bir online mağazanın güvenilir olup olmadığını ayırt etmek çok zorlaştı ve bu vaka şüphe uyandırmayacak güzel bir skimmer örneği.

Bir Malwarebytes müşterisiyseniz, bu skimmer tarafından ele geçirilmiş bir mağazadan alışveriş yapmaya çalıştığınızda bir bildirim ve engelleme alırsınız.

Şekil 10: Skimmer Malwarebytes tarafından engelleniyor

Uzlaşma Göstergeleri

Alan isimleri

genlytec[.]us
shumtech[.]shop
zapolmob[.]sbs
daichetmob[.]sbs
interytec[.]shop
pyatiticdigt[.]shop
stacstocuh[.]quest

IP adresleri

195.242.110[.]172
195.242.110[.]83
195.242.111[.]146
45.88.3[.]201
45.88.3[.]63

ÇOCUK kuralı

rule kritecloader
{
 strings:
     $string = "'fetchModul'"
     $string2 = "'setAttribu'"
     $string3 = "'contentWin'"
     $string4 = "'zIndex'"

condition:
    all of them
}


İster evden ister işteyken bir çevrimiçi mağazayı ziyaret ediyor olun, web koruması genel savunmanızda kritik bir katmandır. Tüketiciler için Malwarebytes Premium ve işletmeler için Endpoint Protection, Magecart gibi tehditlere karşı gerçek zamanlı koruma sağlar.

ŞİMDİ DENE



Source link