Yeni Formjacking kötü amaçlı yazılım, kredi kartı verilerini çalmak için e-ticaret sitelerini hedefler

WordFence Tehdit İstihbarat Ekibi tarafından yakın zamanda ortaya çıkarıldığı gibi, hassas kredi kartı bilgilerini çalmak için özellikle Woocommerce tabanlı e-ticaret sitelerini hedefleyen rahatsız edici yeni bir formjacking kötü amaçlı yazılım ortaya çıktı.

Ödeme sayfalarında sahte formları kaplayan geleneksel kart sıyrılığının aksine, bu kötü amaçlı yazılım, WooCommerce sitelerinin meşru ödeme iş akışına sorunsuz bir şekilde entegre olur ve tasarımlarını ve işlevselliklerini endişe verici hassasiyetle taklit eder.

Bu sofistike entegrasyon, enjekte edilen ödeme formu profesyonel göründüğünden, stil HTML öğeleri, kart detayları için tanıdık alanlar ve hatta meşru ödeme kartı grafiklerine benzeyen SVG simgeleri ile birlikte, hem site sahiplerinin hem de müşterilerin kötü amaçlı etkinliği tespit etmelerini neredeyse imkansız hale getirir.

– Reklamcılık –

Woocommerce platformlarına sofistike saldırı

Kötü amaçlı yazılım, profesyonel biçimlendirme ve geleneksel sözdizimi yoluyla görsel olarak meşru kodla harmanlayan ve gündelik incelemeden kaçan kötü niyetli JavaScript enjekte ederek çalışır.

Ödeme sayfalarında etkinleştirilir, URL kontrolleri yoluyla tanımlanır ve tarayıcının yerel sitesini, adlar, adresler ve e -postalar gibi kişisel bilgilerin yanı sıra kart numaraları, son kullanma tarihleri ​​ve CVV’ler gibi kalıcı olarak saklamak için kullanır.

Bu kalıcılık, verilerin tarayıcı oturumları veya kesintileri arasında bile erişilebilir kalmasını sağlarken, akıllı bir anti-forensik tasarım, hırsızlığın zaman çizelgelerini belirsiz zaman çizelgelerine ertelemeyi geciktirir.

Senaryo kullanıyor navigator.sendBeacon() Uzaktan Komut ve Kontrol (C2) sunucularına sessiz, bloke etmeyen veri iletimi için API, CORS preflight kontrollerini atlayarak ve tarayıcı araçlarında veya site günlüklerinde minimum izler bırakır.

Kötü amaçlı yazılım mekaniğinin teknik dökümü

Form alanlarını birden çok ile sürekli olarak izlemek setInterval() Aramalar, kötü amaçlı yazılım, bir işlem tamamlanmasa bile verilerin hasat edilmesini sağlayarak gerçek zamanlı olarak girişi yakalar.

Enfeksiyon, büyük olasılıkla, basit özel CSS ve JS gibi eklentiler aracılığıyla enjekte edilen, veritabanı depolanmış ayarlardan veya dinamik ekleme için önbelleğe alınmış sayfalarla enjekte edilen kötü amaçlı kodlar ile tehlikeye atılmış WordPress yönetici hesaplarından kaynaklanmaktadır.

İlk bulgular, uzlaşma vektörünün idari ayrıcalıklara yetkisiz erişim ve ardından özel kodlara izin veren eklentiler aracılığıyla kötü niyetli JavaScript eklenmesini içerdiğini göstermektedir.

Önbelleğe alınan dosyalar, doğal güvenlik açıklarından ziyade eklenti kötüye kullanımına işaret eden yorumları ortaya çıkardı ve kötü amaçlı yazılım ağırlıklı olarak önbelleğe alınmış sayfalarda veya veritabanı girişlerinde ikamet ediyor.

Geleneksel PHP tabanlı enfeksiyonları atlayan bu dinamik enjeksiyon yöntemi, web tehditlerinin gelişen doğasının altını çizmektedir.

Rapora göre, WordFence ekibi hızlı bir şekilde cevap verdi, 25 Nisan 2025’te bir algılama imzası geliştirdi ve 6 Mayıs’a kadar premium kullanıcılara serbest bırakıldı ve ücretsiz kullanıcılar 5 Haziran’da erişim kazandı.

Veritabanları, 4.3 milyondan fazla kötü niyetli örneğe sahip, eklentiler ve CLI tarayıcıları aracılığıyla bu tür tehditlerin% 99’unu engellemeye yardımcı oluyor.

Koruma için, kullanıcıların Ublock Origin gibi tarayıcı uzantılarından yararlanmaları, ödeme sırasında ağ etkinliğini incelemeleri, sanal veya tek kullanımlık ödeme yöntemlerini kullanma, banka beyanlarını izleme ve işlem sonrası tarayıcı verilerini temizlemeleri istenir.

Bu kötü amaçlı yazılım, formjack taktiklerinde ürpertici bir evrimi temsil ederek, kullanıcı güvenliğini benzersiz bir gizlilikle zayıflatmak için meşru web teknolojilerinden yararlanır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!