Güvenliği ihlal edilmiş çevrimiçi mağazalara, Google Etiket Yöneticisi komut dosyasının etrafına saklanan bilgi toplayıcılar enjekte edildi. İlk başta benzer görünen ancak farklı bir kampanyanın parçası olan yeni bir tane belirledik.
Tehdit aktörleri genellikle aynı kaynaklar için rekabet eder ve web sitesi tavizleri söz konusu olduğunda bu gerçeklerden daha fazla olamaz. Sonuçta, bir güvenlik açığı varsa, birden fazla kez yararlanılacağı beklenebilir.
Geçmişte, örneğin Umbro web sitesinin ihlali gibi Magecart tehdit aktörlerinde bu tür olaylar gördük. Geçenlerde, güvenlik satıcısı Akamai’nin bir blog gönderisini okurken benzer bir durum fark ettik. Listelenen uzlaşma göstergelerinde, henüz belgelenmemiş gibi görünen, belirgin bir gözden geçirme kampanyasında kullanıldığını gördüğümüz etki alanlarını fark ettik.
Aslında, güvenliği ihlal edilmiş mağazalarda her iki skimmer’ın da yüklü olduğu örnekler gördük, bu da mağdurlar için çifte sorun anlamına geliyor çünkü kredi kartı bilgileri sadece bir kez değil, iki kez çalınıyor. Bu blog yazısında, yeni bulunan Kritec deniz süpürücünün rakiplerinden birinin yanında nasıl bulunduğunu gösteriyoruz.
WebSockets kullanan orijinal kampanya
Akamai’deki araştırmacılar, Google Etiket Yöneticisi kılığına giren ve aynı zamanda Kanada’nın en büyük likör mağazalarından birinin (LCBO) ele geçirilmesiyle haber olan bir Magecart skimmer kampanyasını bildirdi. O sırada ayrıntılar paylaşılmamış olsa da, urlscan.io’daki arşivlenmiş bir tarama sayesinde, tarayıcının WebSockets kullandığını ve Akamai’nin blogunda açıklananla aynı olduğunu belirleyebildik.
Kritec kampanyası
Akamai, benzerlikleri olan birden fazla güvenliği ihlal edilmiş web sitesi belirlediklerini belirtiyor. Nebiltech’i de listeliyorlar[.]bazen Google Etiket Yöneticisi komut dosyasının yanına eklendiğini gördüğümüz bir alan adı olan IOC’lerinde alışveriş yapın, ancak içinde değil.
Bunun tamamen farklı bir kampanya ve tehdit aktörü olduğuna inanıyoruz. İşte bazı nedenler:
- WebSocket kullanılmıyor
- Cloudflare’ı kötüye kullanan alanlar
- ara yükleyici
- Tamamen farklı gözden geçirme kodu
İşleri karmaşık hale getirmek için, aynı anda her iki deniz süpürücüsüne sahip bazı mağazalar gözlemledik, bu da onların birbiriyle ilişkili olmadığına inanmamızın bir başka nedeni:
Bu yeni sıyırıcıyı alan adlarından birinin adıyla ‘Kritec’ olarak adlandırmaya başladık. Daha önce görmediğimiz kötü amaçlı JavaScript’i yüklemek için ilginç bir yolu var. Enjekte edilen kod, bir birinci etki alanını çağırır (yukarıda Base64’te kodlanmış olarak görülmektedir) ve bir Base64 yanıtı oluşturur:
Kodun çözülmesi, büyük ölçüde gizlenmiş (muhtemelen obfuscator.io aracılığıyla) gerçek gözden geçirme kodunu gösteren bir URL’yi ortaya çıkarır:
Veri hırsızlığı da aşağıdaki resimde görüldüğü gibi farklı şekilde yapılır. Solda, çalınan kredi kartı verileri bir WebSocket skimmer aracılığıyla gönderilirken, sağda bu bir POST isteğidir:
Google Etiket Yöneticisi varyantları
Geçtiğimiz aylarda, Google Etiket Yöneticisi’ni şu veya bu şekilde kötüye kullanan birkaç Magecart skimmers oldu. Akamai’nin blogundan bahsettik ama aynı zamanda Recorded Future tarafından da belgelendi. Bu tür durumlarda, kötü amaçlı yazılım aslında çok zekice ve tespit edilmesi zor olan Google Etiket Yöneticisi kitaplığının kendisine yerleştirilmiştir.
Kritec skimmer, Google Etiket Yöneticisi komut dosyasında asılı kalsa da, bunun diğer aktif kampanyalarla ilgili olmadığına inanıyoruz. Son zamanlarda belgeliyoruz ve gerçek altyapısını gizlemek için kullandığı kötüye kullanımı Cloudflare’a bildiriyoruz.
Malwarebytes müşterileri, Endpoint Protection (EP), Endpoint Detection and Response (EDR) ve Malwarebytes Premium’daki web korumamız aracılığıyla bu kampanyaya karşı korunur.
Uzlaşma Göstergeleri
WebSocket Süzgeç:
bulut-cdn[.]org
—
Kritec skimmer:
kritek[.]resimler
hayati çete[.]resimler
akış[.]resimler
bayrak çetesi[.]arayış
giriş bölümü[.]sbs
sanpatek[.]mağaza
Hoş geldin[.]mağaza
biltech dışı[.]mağaza
dolandırıcılar[.]mağaza
Onları yıka[.]yatlar
tochdigital[.]resimler
smestech[.]mağaza
kltech[.]mağaza
atış çetesi[.]sbs
ortalama rakam[.]resimler
nevomob[.]arayış
vuroselec[.]arayış
tepe noktası[.]yatlar
sorotele[.]yatlar
bereelek[.]arayış
bereelek[.]görev/ww[.]dakika[.]js
tepe noktası[.]yatlar/tepe[.]dakika[.]js
vuroselec[.]arayış/nefes[.]dakika[.]js
nevomob[.]görev/elan-yükleyici[.]js
ortalama rakam[.]resimler/wpp-yükleyici[.]js
ortalama rakam[.]resimler/güneş yükleyici[.]js
kltech[.]shop/opencart-cache-worker[.]dakika[.]js
tochdigital[.]resimler/dijital[.]dakika[.]js
hayati çete[.]resimler/ön yükleyici[.]js