Jscrambler araştırmacıları, “Kurban web sitelerinin, saldırganlar tarafından kullanılan ölü bağlantıyı kaldırmak için yılları vardı, ancak muhtemelen web sitelerinde çalışan üçüncü taraf komut dosyaları hakkında görünürlük eksikliği ve yetersiz güvenlik hijyeni nedeniyle” kaldırmadı.
Yeni bir saldırı tekniği
Saldırganlar alan adını ele geçirdi tracker.web-kokpit[.]jpAralık 2014’te kullanımdan kaldırılan ücretsiz bir web pazarlama ve analiz hizmetine aitti.
Orijinal JavaScript kitaplığının adı Cockpit idi ve kötü amaçlı bir web gözden geçirme komut dosyasıyla değiştirildi. Jscrambler araştırmacıları, Help Net Security’ye, saldırganların onu orijinal komut dosyası gibi göstermeye veya başka bir şekilde gizlemeye çalışmadıklarını söyledi.
Eski Kokpit betiği, e-ticaret sitelerine yerleştirilen başka bir betik tarafından yüklendi. Getirildiği yerden web sayfasını tanımlayan yönlendiren başlık değerine bağlı olarak, etki alanı ya hiçbir komut dosyası, varsayılan bir skimmer ya da belirli bir skimmer sunar.
Varsayılan skimmer üzerinde çalışacaktı Emir ve Kayıt ol web sayfaları ve herhangi bir giriş, seçme ve metin alanı sayfada bulunan öğeler, ancak daha fazla bilgi almak için bir kredi kartı gönderme formu da ekleyin.
Spesifik skimmer, meşru Google Analytics komut dosyasının e-posta ve ödeme kartı bilgilerini alabilen özel bir sahte sürümüydü.
“Saldırganlar, kullanılmayan etki alanını yeniden kaydettirerek ve onu kötü amaçlı kod dağıtacak şekilde yapılandırarak, 40’tan fazla e-ticaret web sitesinin güvenliğini aşmayı başardı. Araştırmacılar, sitelerden toplanan verilerin kodlandığını, şifrelendiğini ve ardından Rusya merkezli bir hırsızlık sunucusuna gönderildiğini tespit etti.
Temizlemek
Kötü amaçlı etki alanı hâlâ çalışır durumdadır ve boş bir sayfa döndürmesine rağmen, favicon (sayfa başlığındaki web sitesi logosu) bilgi toplayıcılardan birinin bir kopyasını içerir.
Araştırmacılar, bu saldırıdan etkilenen sitelerin sahiplerini bilgilendirdi. Bazıları – ama hepsi değil! – skimmers’ı getiren betiği kaldırdı.
“E-ticaret sitelerinden biri, üçüncü taraf komut dosyasının güvenliğinin ihlal edildiğinin farkındaydı. Kaldırmak yerine, ödeme sayfasına küçük bir bildirim eklediler” notunu düştüler ve site sahiplerinin, bir web sitesi oluşturucu hizmeti veya aşağıdakileri içeren bir İçerik Yönetim Sistemi (CMS) kullandıkları için rahatsız edici komut dosyasını kaldıramayacaklarını öne sürdüler. varsayılan olarak.
Ödeme sayfasındaki uyarı (Kaynak: Scrambler)
Tespit edilen diğer saldırılarda, dolandırıcılar e-ticaret sitelerinin güvenliğini ele geçirdiler ve Google Analytics’e benzeyen komut dosyasını sitelerine yerleştirdiler. Ödeme sayfa.
Araştırmacılar, Help Net Security’ye bu saldırılardan herhangi birini bilinen bir Magecart grubuna atfetmek için yeterli kanıtları olmadığını söylediler.