Siber güvenlik araştırmacıları, içerik yönetim sistemi (CMS) ile ilişkili bir veritabanı tablosuna kötü amaçlı JavaScript kodu ekleyerek WordPress e-ticaret ödeme sayfalarını hedef alan yeni bir gizli kredi kartı skimmer kampanyası konusunda uyarıyorlar.
Sucuri araştırmacısı Puja Srivastava yeni bir analizde, “WordPress web sitelerini hedef alan bu kredi kartı şifreleyici kötü amaçlı yazılım, hassas ödeme ayrıntılarını çalmak için veritabanı girişlerine sessizce kötü amaçlı JavaScript enjekte ediyor.” dedi.
“Kötü amaçlı yazılım, mevcut ödeme alanlarını ele geçirerek veya sahte bir kredi kartı formu ekleyerek özellikle ödeme sayfalarında etkinleşiyor.”
GoDaddy’nin sahibi olduğu web sitesi güvenlik şirketi, “widget_block” seçeneğiyle WordPress wp_options tablosuna gömülü kötü amaçlı yazılımı keşfettiğini, böylece tarama araçlarıyla tespit edilmesini önlediğini ve tehlikeye atılmış sitelerde dikkat çekmeden varlığını sürdürdüğünü söyledi.
Bunu yaparken amaç, kötü amaçlı JavaScript’i WordPress yönetici paneli (wp-admin > widgets) aracılığıyla bir HTML blok widget’ına eklemektir.
JavaScript kodu, geçerli sayfanın bir ödeme sayfası olup olmadığını kontrol ederek çalışır ve yalnızca site ziyaretçisi ödeme ayrıntılarını girmek üzereyken bu sayfanın harekete geçmesini sağlar; bu noktada dinamik olarak meşru ödeme işlemcilerini taklit eden sahte bir ödeme ekranı oluşturur. Stripe gibi.
Form, kullanıcıların kredi kartı numaralarını, son kullanma tarihlerini, CVV numaralarını ve fatura bilgilerini yakalamak için tasarlanmıştır. Alternatif olarak hileli komut dosyası, uyumluluğu en üst düzeye çıkarmak için meşru ödeme ekranlarına girilen verileri gerçek zamanlı olarak yakalama yeteneğine de sahiptir.
Çalınan veriler daha sonra Base64 ile kodlanır ve zararsız görünmesi ve analiz girişimlerine direnmesi için AES-CBC şifrelemesiyle birleştirilir. Son aşamada saldırganın kontrol ettiği bir sunucuya (“valhafather”) iletilir.[.]xyz” veya “fqbe23″[.]xyz”).
Bu gelişme, Sucuri’nin dinamik olarak sahte kredi kartı formları oluşturmak veya ödeme sayfalarındaki ödeme alanlarına girilen verileri çıkarmak için JavaScript kötü amaçlı yazılımlarından yararlanan benzer bir kampanyayı vurgulamasından bir aydan fazla bir süre sonra gerçekleşti.
Toplanan bilgiler daha sonra, uzak bir sunucuya (“statik yazı tipleri”) sızmadan önce, önce JSON olarak kodlanarak, “komut dosyası” anahtarıyla XOR ile şifrelenerek ve son olarak Base64 kodlaması kullanılarak üç katman gizlemeye tabi tutulur.[.]com”).
Srivastava, “Komut dosyası, ödeme sayfasındaki belirli alanlardan hassas kredi kartı bilgilerini çıkarmak için tasarlandı” dedi. “Daha sonra kötü amaçlı yazılım, Magento’nun API’leri aracılığıyla kullanıcının adı, adresi, e-postası, telefon numarası ve diğer fatura bilgileri dahil olmak üzere ek kullanıcı verilerini topluyor. Bu veriler Magento’nun müşteri verileri ve fiyat teklifi modelleri aracılığıyla alınıyor.”
Açıklama aynı zamanda, alıcıları yaklaşık 2.200 ABD doları tutarında ödenmemiş bir ödeme talebi kisvesi altında PayPal giriş sayfalarına tıklamaya yönlendiren, mali motivasyonlu bir kimlik avı e-posta kampanyasının keşfinin ardından geldi.
“Dolandırıcı, üç ay boyunca ücretsiz olan bir Microsoft 365 test etki alanını kaydettirmiş ve ardından bir dağıtım listesi oluşturmuş gibi görünüyor (Billingdepartments1)[@]Fortinet FortiGuard Labs’tan Carl Windsor, “gkjyryfjy876.onmicrosoft.com) kurban e-postaları içeriyor” dedi. “PayPal web portalında parayı talep ediyorlar ve dağıtım listesini adres olarak ekliyorlar.”
Kampanyayı sinsi yapan şey, mesajların meşru bir PayPal adresinden ([email protected]) gelmesi ve e-postaların güvenlik araçlarını geçmesine olanak tanıyan gerçek bir oturum açma URL’si içermesidir.
Daha da kötüsü, kurban ödeme talebiyle ilgili olarak PayPal hesabına giriş yapmaya çalıştığında, hesabı otomatik olarak dağıtım listesinin e-posta adresine bağlanıyor ve bu da tehdit aktörünün hesabın kontrolünü ele geçirmesine olanak tanıyor.
Son haftalarda kötü niyetli aktörlerin, kurban cüzdanlarından kripto para birimini çalmak için işlem simülasyonu sahtekarlığı adı verilen yeni bir teknikten yararlandıkları da gözlemlendi.
Scam Sniffer, “Modern Web3 cüzdanları işlem simülasyonunu kullanıcı dostu bir özellik olarak içeriyor” dedi. “Bu özellik, kullanıcıların işlemlerinin beklenen sonuçlarını imzalamadan önce önizlemelerine olanak tanıyor. Şeffaflığı ve kullanıcı deneyimini geliştirmek için tasarlanmış olsa da, saldırganlar bu mekanizmadan yararlanmanın yollarını buldu.”
Enfeksiyon zincirleri, işlem simülasyonu ile yürütme arasındaki zaman boşluğundan yararlanarak saldırganların sahte cüzdan boşaltma saldırıları gerçekleştirmek için merkezi olmayan uygulamaları (DApp’ler) taklit eden sahte siteler kurmasına olanak tanır.
Web3 dolandırıcılık karşıtı çözüm sağlayıcısı, “Bu yeni saldırı vektörü, kimlik avı tekniklerinde önemli bir evrimi temsil ediyor” dedi. “Saldırganlar artık basit bir aldatmacaya güvenmek yerine, kullanıcıların güvenlik için güvendiği güvenilir cüzdan özelliklerinden yararlanıyor. Bu karmaşık yaklaşım, tespit etmeyi özellikle zorlaştırıyor.”