Tehdit aktörlerinin, kalıcı bir kredi kartı kopyalama cihazını gizlemek ve ödeme bilgilerini toplamak için tehlikeye atılmış web sitelerindeki takas dosyalarını kullandıkları gözlemlendi.
Sucuri’nin Magento e-ticaret sitesinin ödeme sayfasında gözlemlediği sinsi teknik, kötü amaçlı yazılımın birden fazla temizleme girişiminden sağ çıkmasını sağladı.
Skimmer, web sitesindeki kredi kartı formundaki tüm verileri yakalamak ve ayrıntıları “amazon-analytic” adlı saldırgan tarafından kontrol edilen bir etki alanına sızdırmak için tasarlanmıştır.[.]Şubat 2024’te tescil edilen “.com”
Güvenlik araştırmacısı Matt Morrow, “Marka adının kullanımına dikkat edin; popüler ürün ve hizmetleri alan adlarında kullanma taktiği, kötü niyetli kişiler tarafından tespit edilmekten kaçınmak için sıklıkla kullanılır.” dedi.
Bu, tehdit aktörü tarafından kullanılan birçok savunma kaçınma yönteminden sadece biridir; bu yöntemler arasında kötü amaçlı kodu yüklemek için takas dosyalarının (“bootstrap.php-swapme”) kullanımı ve orijinal dosyanın (“bootstrap.php”) bozulmadan ve kötü amaçlı yazılımlardan arındırılmış olarak tutulması da yer alır.
Morrow, “Dosyalar doğrudan SSH üzerinden düzenlendiğinde, düzenleyicinin çökmesi durumunda sunucu geçici bir ‘takas’ sürümü oluşturacak ve bu da tüm içeriğin kaybolmasını önleyecek” şeklinde açıklama yaptı.
“Saldırganların, kötü amaçlı yazılımı sunucuda tutmak ve normal tespit yöntemlerinden kaçınmak için bir takas dosyası kullandıkları ortaya çıktı.”
Bu durumda ilk erişimin nasıl elde edildiği henüz netlik kazanmamış olsa da, SSH veya başka bir terminal oturumu kullanılarak sağlanmış olabileceği düşünülüyor.
Bu açıklama, WordPress sitelerindeki ele geçirilmiş yönetici kullanıcı hesaplarının, meşru Wordfence eklentisi gibi görünen, ancak sahte yönetici kullanıcıları oluşturma ve Wordfence’i devre dışı bırakma yetenekleriyle gelen ve her şeyin beklendiği gibi çalıştığına dair yanlış bir izlenim veren kötü amaçlı bir eklentinin yüklenmesi için kullanıldığı gerçeğini ortaya koydu.
Güvenlik araştırmacısı Ben Martin, “Kötü amaçlı eklentinin ilk etapta web sitesine yerleştirilebilmesi için web sitesinin daha önceden tehlikeye atılmış olması gerekirdi; ancak bu kötü amaçlı yazılım kesinlikle yeniden enfeksiyon vektörü olarak hizmet edebilir” dedi.
“Kötü amaçlı kod yalnızca URL’sinde ‘Wordfence’ kelimesi bulunan WordPress yönetici arayüzü sayfalarında (Wordfence eklentisi yapılandırma sayfaları) çalışır.”
Site sahiplerine, FTP, sFTP ve SSH gibi yaygın protokollerin kullanımını güvenilir IP adresleriyle sınırlamaları ve ayrıca içerik yönetim sistemleri ile eklentilerin güncel olduğundan emin olmaları önerilir.
Kullanıcıların ayrıca iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeleri, botları engellemek için bir güvenlik duvarı kullanmaları ve DISALLOW_FILE_EDIT ve DISALLOW_FILE_MODS gibi ek wp-config.php güvenlik uygulamalarını uygulamaları önerilir.