Saldırganlar Magento e-ticaret sitelerini yeni bir yöntemle hedef alıyor kart taraması Çevrimiçi işlemlerin ödeme sayfalarından ödeme ayrıntılarını dinamik olarak kaldırabilen kötü amaçlı yazılım. Web güvenlik firması Surcuri’den bir araştırmacı tarafından keşfedilen saldırı, çevrimiçi perakendecilerin ve alışveriş yapanların bu haftanın tarihsel olarak yoğun Kara Cuma çevrimiçi alışveriş gününe hazırlanmaları sırasında gerçekleşti.
Sucuri güvenlik analisti Weston Henry saldırıyı fark etti 26 Kasım’da yayınlanan bir blog gönderisine göre, bu saldırının birden fazla çeşidi olan ve popüler e-ticaret platformunda oluşturulmuş siteleri iki farklı şekilde hedef alan kötü amaçlı bir JavaScript enjeksiyonu biçiminde olduğu belirtiliyor.
Bunun bir yolu, kart bilgilerini çalmak için sahte bir kredi kartı formu oluşturmak, diğeri ise verileri doğrudan ödeme alanlarından çıkarmaktır. Sucuri güvenlik analisti Puja Srivastava, gönderisinde “Dinamik yaklaşımı ve şifreleme mekanizmaları tespit edilmesini zorlaştırıyor” dedi. Veriler daha sonra şifrelenir ve saldırgan tarafından kontrol edilen uzak bir sunucuya aktarılır.
Magento tabanlı web siteleri E-ticarette yaygın kullanımları ve ödeme kartı ya da banka hesabı bilgileri de dahil olmak üzere işledikleri değerli müşteri verileri nedeniyle siber suçluların sık sık hedefi oluyorlar. Ve kart taraması — genellikle bir grup siber suçlu tarafından toplu olarak gerçekleştirilir Magecart olarak bilinir — bu sitelerden bu tür verileri çalmak için kullanılan popüler bir saldırı vektörüdür.
Müşteri Ödeme Sırasında Hedeflenen Siber Kurbanlar
Henry, kötü amaçlı komut dosyasını Magento tabanlı bir sitenin Sucuri’nin SiteCheck’i ile yaptığı rutin inceleme sırasında keşfetti. Sucuri güvenlik analisti Puja Srivastava, gönderisinde “Araç, kara listeye alınan dinamikopenfonts.app etki alanından gelen bir kaynak tespit etti” dedi. Sonunda kaynak sitede iki yerde bulundu.
Bulunduğu yerlerden biri de
Srivastava, saldırganların tespit edilmekten kaçınmak için harici komut dosyasının içeriğini gizlediğini ve bu durumun “ilk bakışta tanımlanmasını zorlaştırdığını” belirtti.
Çalıştırıldıktan sonra komut dosyası, ödeme sayfasındaki belirli alanlardan hassas kredi kartı bilgilerinin çıkarılması amacıyla yalnızca “ödeme” kelimesini içeren ancak URL’de “sepet” kelimesini içermeyen sayfalarda etkinleşir.
Kötü amaçlı yazılım, bu kötü amaçlı görevi tamamladıktan sonra Magento’nun API’leri aracılığıyla kullanıcının adı, adresi, e-postası, telefon numarası ve diğer fatura bilgileri dahil olmak üzere ek kullanıcı verilerini toplar. Srivastava, “Bu veriler Magento’nun müşteri verileri ve fiyat teklifi modelleri aracılığıyla alınıyor” diye açıkladı.
Magento Kötü Amaçlı Yazılımın Güçlü Tespit Önleme Oyunu
Araştırmacılar, kötü amaçlı yazılımın arkasındaki saldırganların, kötü amaçlı etkinliklerini gizlemek için birden fazla algılama önleme tekniği kullanmaya özen gösterdiğini buldu. Araştırmacılar, kötü amaçlı yazılımın verileri toplarken, önce onu JSON olarak kodladığını ve ardından ekstra bir şaşırtma katmanı eklemek için “komut dosyası” anahtarıyla XOR şifrelediğini buldu.
Şifrelenmiş veriler aynı zamanda bir işaret tekniği aracılığıyla staticfonts.com adresindeki uzak bir sunucuya gönderilmeden önce Base64 ile kodlanır. Beaconing, bir komut dosyasının veya programın, kullanıcıyı uyarmadan veya etkinliğini kesintiye uğratmadan istemciden uzaktaki bir sunucuya sessizce veri gönderdiği bir yöntemdir.
Araştırmacılar, analiz araçları gibi meşru uygulamaların da işaret verme özelliğini kullanmasına rağmen, kötü niyetli aktörlerin bu teknolojiyi tercih ettiğini çünkü bunun çalıntı verileri iletmenin gizli ve tespit edilmesi zor bir yolu olduğunu belirtti.
E-Ticaret Sitelerini Siber Saldırılardan Nasıl Koruruz?
E-ticaret sitelerini korumak için sinsi kart kaydırıcılardan – özellikle de yoğun alışveriş günlerinde Kara CumaSiber suçlular için altın madeni olan Sucuri, yöneticilere düzenli güvenlik denetimleri yapmalarını, olağandışı etkinlikleri izlemelerini ve siteleri korumak için güçlü bir Web uygulaması güvenlik duvarı (WAF) kurmalarını öneriyor.
Srivastava, “eski eklentiler ve temalardaki güvenlik açıklarından yararlanan saldırganların birincil hedefi eski yazılımlar olduğundan”, sitelerin en son güvenlik yamalarıyla sürekli olarak güncellendiğinden de emin olmaları gerektiğini yazdı.
Yöneticiler ayrıca güvenliği artırmak ve parolaların saldırganlar tarafından kolayca kırılmasını önlemek için e-ticaret sitelerinde güçlü, benzersiz parolalar kullandıklarından emin olmalıdır. Son olarak, web sitesi dosyalarındaki yetkisiz değişiklikleri tespit etmek için dosya bütünlüğü izlemenin uygulanması aynı zamanda bir erken uyarı sistemi olarak da hizmet verebilir.