Çevrimiçi alışveriş yapanları hedef alan gelişmiş bir web tarama kampanyası, 2026’da yenilenen bir yoğunlukla ortaya çıktı; e-ticaret web sitelerini tehlikeye attı ve ödeme süreçleri sırasında hassas ödeme bilgilerini ele geçirdi.
Daha geniş Magecart tehdit ailesinin bir parçası olarak tanımlanan saldırı, çevrimiçi perakende güvenliğine yönelik gelişen bir zorluğu temsil ediyor.
Tehdit araştırmacıları, en azından 2022’nin başından bu yana faaliyet gösteren bu uzun soluklu kampanyayla ilişkili kapsamlı altyapıyı belgeledi.
Kötü amaçlı ağ, American Express, Diners Club, Discover, Mastercard, JCB ve UnionPay gibi büyük ödeme sağlayıcılarını hedef alıyor ve potansiyel olarak dünya çapında milyonlarca müşteriyi etkiliyor.
Saldırı, kötü amaçlı kodun bariz güvenlik uyarılarını tetiklemeden kendisini meşru e-ticaret web sitelerine yerleştirdiği JavaScript enjeksiyonu yoluyla gerçekleştirilir.
Kod bir kez enjekte edildiğinde, ziyaretçiler ödeme sayfasına ulaşana kadar hareketsiz kalır ve bu noktada kimlik bilgileri çalma yükünü başlatır.
.webp)
Altyapı, kalıcılığı korumak ve tespit edilmekten kaçınmak için güvenliği ihlal edilmiş etki alanlarına ve kurşun geçirmez barındırma sağlayıcılarına dayanır.
Silent Push analistleri ve araştırmacıları, saldırganların WordPress’in iç yapısı hakkında ileri düzeyde bilgiye sahip olduğunu ve kötü amaçlı komut dosyalarını web sitesi oluşturma sürecine entegre etmek için wp_enqueue_scripts eylem kancaları gibi daha az bilinen özelliklerden yararlandığını belirtti.
Teknik karmaşıklık, kötü amaçlı yazılımın ödeme süreci sırasında nasıl ikna edici bir görünüm oluşturduğunda yatmaktadır.
Skimmer, web sayfası değişikliklerini gerçek zamanlı olarak izlemek için bir MutationObserver kurar ve ödeme formu ortamının sürekli izlenmesini sağlar.
![Colunexshop'un ödeme sayfasında kötü amaçlı dosya açıklaması[.]com (Kaynak - Silent Push)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIGHx8blTnpboZ0ZdDfo9kGPRyv-3zGDY6WBYnldgKYwcacjFEvGeskEo461OD5m8AM24Agh0uFLtLd8UOso4iQ4cgx9QeMoaKNjg1vYNl_dx5wn764aop5D89fu99ZLGCNoXrIfyfGZzj7xdZLU-UckvNq15wfxd_qwoThyzilplQs0kksln1W3R9Jyo/s16000/Malicious%20file%20callout%20on%20the%20checkout%20page%20for%20colunexshop%5B.%5Dcom%20(Source%20-%20Silent%20Push).webp)
Daha sonra meşru Stripe ödeme formunu gizler ve kart numaralarını, son kullanma tarihlerini, CVV kodlarını ve fatura bilgilerini içeren neredeyse aynı sahte formu enjekte eder.
Sahte form, kart türlerini tanıyan ve karşılık gelen marka görsellerini görüntüleyen marka algılama mantığını içeriyor ve mağdurların meşruiyetini güçlendiriyor.
Gelişmiş Veri Süzme Mekanizması
Veri toplama süreci, ödeme ayrıntılarından daha fazlasını yakalar. Kötü amaçlı yazılım, ödeme sayfasındaki her giriş alanını izleyerek adları, adresleri ve e-posta bilgilerini toplar.
Kurbanlar formu doldurup Sipariş Ver düğmesini tıkladıktan sonra, skimmer toplanan tüm verileri yapılandırılmış bir nesnede derler, 777 sabit kodlu anahtarla XOR şifrelemesi uygular ve bunu Base64 formatında kodlar.
.webp)
Şifrelenmiş veri daha sonra HTTP POST isteği aracılığıyla, güvenliği ihlal edilmiş altyapıda bulunan sızıntı sunucularına iletilir.
Saldırı, form gönderildikten sonra ödeme hatalarını görüntüleyerek kullanıcı psikolojisini istismar ediyor ve kurbanları yanlış bilgi girdiğine inandırarak yanıltıyor.
Şüphelenmeyen müşteriler genellikle kimlik bilgilerini meşru forma yeniden girerek, verilerinin zaten çalındığından habersiz kalarak satın alma işlemlerini başarıyla tamamlıyorlar.
Bu psikolojik manipülasyon, şüpheyi ortadan kaldırarak saldırı başarı oranlarını önemli ölçüde artırır.
Kötü amaçlı yazılım, WordPress yönetici durumunu yönetici çubuğu öğesi aracılığıyla tespit eden ve yöneticiler siteyi görüntülediğinde kendisini otomatik olarak devre dışı bırakarak kampanyanın operasyonel ömrünü önemli ölçüde uzatan kaçınma taktikleri içerir.
Güvenlik araştırmacıları, çok yıllı bu tehdidin 2026 yılı boyunca savunmasız çevrimiçi mağazaları hedef almaya devam edeceğini öngörüyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
