Tehdit Aktörleri, Kart Çalma Amaçlı Kötü Amaçlı Yazılımları Gizlemek İçin 404 Sayfayı Kötüye Kullanıyor


Gıda ve perakende sektörlerindeki birçok kuruluşu hedef alan yeni bir web tarama kampanyası keşfedildi. Bu kampanya benzersizdi çünkü üç gelişmiş gizleme tekniğini içeriyordu.

Bunlardan biri, kötü amaçlı kodu gizlemek için 404 hata sayfasının kullanılmasını içeriyordu, bu da azaltmayı ve tespit etmeyi zorlaştırıyordu; diğer ikisi ise gizleme teknikleriydi.

Web Skimming saldırısı, tehdit aktörlerinin, kurbanlar formu doldururken bir HTML formundan veri çıkarmak için web sitesine kötü amaçlı kodlar eklemesidir. Tehdit aktörlerinin çeşitli veri çıkarma saldırıları için kullandığı karmaşık tekniklerden biridir.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

3 varyasyonlu yeni bir kampanya

Yeni kampanya birden fazla Magento ve WooCommerce web sitesini hedef aldı ve üç ana bölümden oluşuyordu: yükleyici, kötü amaçlı saldırı kodu ve veri sızıntısı. Ancak Cyber ​​Security News ile paylaşılan raporlara göre, bu kampanyada birden fazla kurban web sitesi doğrudan istismar edildi.

Yükleyici, saldırının kötü amaçlı kodunun tamamını yüklemek için kullanılan bir JavaScript kod pasajıdır. Kötü amaçlı saldırı kodu, saldırıyı gerçekleştirmek ve hassas girişleri tespit etmek, verileri okumak, ödeme sürecini bozmak ve sahte formlar eklemek dahil olmak üzere diğer amaçlar için kullanılan birincil JavaScript kodudur. Veri hırsızlığı, çalınan verilerin komuta ve kontrol (C2) sunucusuna gönderilmesi için kullanılan yöntemdir.

Magecart saldırı altyapısı
Magecart saldırı altyapısı (Kaynak: Akamai)

Ancak bu kampanyada 3 varyasyon keşfedildi. Bu varyasyonlar, saldırganın tespit edilmesini ve azaltılmasını önlemek amacıyla kısa sürede geliştirdiği iyileştirmelerdir.

İki varyasyon benzerdi ancak üçüncüsü benzersizdi çünkü saldırganlar, kötü amaçlı kodlarını gizlemek için web sitesinin varsayılan 404 hata sayfasını kullanıyordu.

Kullanıcıdan bilgilerini yeniden girmesi istendiğinde sahte form gizleniyor
Kullanıcıdan bilgilerini yeniden girmesi istendiğinde sahte form gizlenir (Kaynak: Akamai)

Web sitesinin varsayılan 404 hata sayfasını kullanmak benzersizdir ve daha iyi saklanma ve kaçmayla sonuçlanabilir. Etkilenen web sitelerindeki yükleyiciler kaldırılmış olsa da, web sitesinin varsayılan 404 sayfasındaki kötü niyetli yorumlar halen devam etmektedir. Bu potansiyel olarak deniz süpürücüsünün saldırıyı yeniden etkinleştirmesine izin verebilir.

Kampanya, varyasyonlar ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan tam bir rapor Akamai tarafından yayınlandı.

Uzlaşma Göstergeleri

  • PMdresearch[.]iletişim
  • güvenlik aracı[.]iletişim
  • reklamometrik[.]iletişim
  • cngresearch[.]iletişim

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link