Tehdit avcıları, sahte yönetici kullanıcılar oluşturabilen ve kredi kartı bilgilerini çalmak için kötü amaçlı JavaScript kodu yerleştirebilen hileli bir WordPress eklentisi keşfetti.
Sucuri’ye göre gözden geçirme etkinliği, e-ticaret web sitelerini hedef alan Magecart kampanyasının bir parçası.
Güvenlik araştırmacısı Ben Martin, “Diğer birçok kötü amaçlı veya sahte WordPress eklentisinde olduğu gibi, dosyanın üst kısmında ona meşruiyet maskesi vermek için bazı aldatıcı bilgiler bulunuyor” dedi. “Bu durumda yorumlar kodun ‘WordPress Önbellek Eklentileri’ olduğunu iddia ediyor.”
Kötü amaçlı eklentiler genellikle WordPress sitelerine, güvenliği ihlal edilmiş bir yönetici kullanıcı aracılığıyla veya sitede zaten yüklü olan başka bir eklentideki güvenlik açıklarından yararlanılarak ulaşır.
Kurulumdan sonra eklenti kendisini mu-plugins (veya kullanılması gereken eklentiler) dizinine kopyalar, böylece otomatik olarak etkinleştirilir ve varlığını yönetici panelinden gizler.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Martin, “Mu-eklentilerden herhangi birini kaldırmanın tek yolu dosyayı manuel olarak kaldırmak olduğundan, kötü amaçlı yazılım bunu önlemek için elinden geleni yapıyor” diye açıkladı. “Kötü amaçlı yazılım bunu, bunun gibi eklentilerin normalde kullandığı kancalar için geri çağırma işlevlerinin kaydını silerek başarıyor.”
Dolandırıcı ayrıca tehlike işaretlerini önlemek ve uzun süreler boyunca hedefe sürekli erişim sağlamak için bir yönetici kullanıcı hesabı oluşturma ve meşru web sitesi yöneticisinden gizleme seçeneğiyle birlikte gelir.
Kampanyanın nihai hedefi, ödeme sayfalarına kredi kartı çalmaya yönelik kötü amaçlı yazılım enjekte etmek ve bilgileri aktörlerin kontrolündeki bir alana sızdırmaktır.
“Pek çok WordPress enfeksiyonu, güvenliği ihlal edilmiş wp-admin yönetici kullanıcılarından meydana geldiğinden, bu onların sahip oldukları erişim düzeylerinin kısıtlamaları dahilinde çalışmaları gerektiği anlamına gelir ve eklentileri yüklemek kesinlikle WordPress yöneticilerinin sahip olduğu temel yeteneklerden biridir. ” dedi Martin.
Açıklama, WordPress güvenlik topluluğunun, kullanıcıları ilgisiz bir güvenlik kusuru konusunda uyaran ve onları bir yama kisvesi altında bir eklenti yüklemeye yönlendiren bir kimlik avı kampanyası konusunda uyarmasından haftalar sonra geldi. Eklenti kendi adına bir yönetici kullanıcı oluşturur ve kalıcı uzaktan erişim için bir web kabuğu dağıtır.
Sucuri, kampanyanın arkasındaki tehdit aktörlerinin, bir CVE tanımlayıcıyla ilişkili “AYRILMIŞ” statüsünden yararlandığını, bunun bir CVE Numaralandırma Otoritesi (CNA) veya güvenlik araştırmacısı tarafından kullanılmak üzere ayrıldığında meydana geldiğini, ancak ayrıntıların henüz açıklanmadığını söyledi. doldurulmuş.
Bu aynı zamanda web sitesi güvenlik firmasının, skimmer kodunu çevrimiçi vitrinlere eklemek için WebSocket iletişim protokolünü kullanan başka bir Magecart kampanyasını keşfetmesiyle de ortaya çıktı. Kötü amaçlı yazılım daha sonra meşru ödeme düğmesinin üzerinde yer alan sahte bir “Siparişi Tamamla” düğmesine tıklandığında tetikleniyor.
Europol’ün bu hafta yayınlanan çevrimiçi sahtekarlığa ilişkin öne çıkan raporu, dijital taramayı, kredi kartı verilerinin çalınması, yeniden satılması ve kötüye kullanılmasıyla sonuçlanan kalıcı bir tehdit olarak tanımladı. “Dijital taramadaki önemli bir evrim, ön uç kötü amaçlı yazılımların kullanımından arka uç kötü amaçlı yazılımların kullanılmasına geçiştir ve bu da tespit edilmesinin daha zor hale gelmesidir” dedi.
AB kolluk kuvvetleri ayrıca 443 çevrimiçi satıcıya, müşterilerinin kredi kartı veya ödeme kartı verilerinin kaymak saldırıları yoluyla ele geçirildiğini bildirdiğini söyledi.
Digital Skimming Action kod adlı sınır ötesi siber suçlarla mücadele operasyonunda da Europol ile ortaklık yapan Group-IB, aralarında ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter ve R3nin’in de bulunduğu 23 JS algılayıcı ailesini tespit ettiğini ve tanımladığını söyledi. Avrupa ve Amerika’da 17 farklı ülkedeki şirketlere karşı kullanıldı.
Singapur merkezli firma, “Toplamda 132 JS algılayıcı ailesinin, 2023 sonu itibarıyla dünya çapında web sitelerini tehlikeye attığı biliniyor.” diye ekledi.
Hepsi bu değil. Kripto para platformları için Google Arama ve Twitter’daki sahte reklamların, Mart 2023’ten bu yana 10.072 kimlik avı web sitesinden oluşan bir ağ aracılığıyla 63.210 kurbandan 58.98 milyon doları yağmaladığı tahmin edilen MS Drainer adlı bir kripto para avcısının tanıtımını yaptığı ortaya çıktı.
ScamSniffer, “Google arama terimleri ve aşağıdaki X tabanı aracılığıyla belirli kitleleri hedefleyerek, belirli hedefleri seçebilir ve çok düşük bir maliyetle sürekli kimlik avı kampanyaları başlatabilirler” dedi.