Çevrimiçi ödeme formlarından ödeme verilerini gözden geçirmek için kötü niyetli JavaScript enjeksiyonlarından yararlanan yeni bir Magecart tarzı kampanya ortaya çıktı.
Tehdit, güvenlik araştırmacısı SdcyberResearch, CC-Analtics’te barındırılan aktif bir kampanyaya işaret eden şifreli bir tweet yayınladıktan sonra ortaya çıktı.[.]com.
Sonraki analiz, ödeme alanlarına bağlanan, kredi kartı ve faturalandırma bilgilerini toplayan ve çalınan verileri saldırgan kontrollü bir alana yayan yoğun bir şekilde gizlenmiş bir komut dosyası ortaya çıkardı.
Özünde, kod bir _0x1B3A1 Tekrarlanan Regex yoluyla altıgen kodlu dizeleri kodlayan işlev, bunları hemen değerlendirmeden önce değiştirir ve özel bir taban dönüşüm rutini eval().
Analistler, hazırlanarak şaşkınlığı hızla çözdüler debugger; Tarayıcı geliştirici araçlarında ve orijinal yük dizesini Python’da yazdırarak. OBF-IO gibi otomatik bozulma hizmetleri işlemi daha da basitleştirerek net JavaScript mantığını ortaya çıkardı.
Temizlikten sonra komut dosyası iki ana bileşenden oluşur: ödeme formu öğelerindeki değişiklikleri dinleyen bir veri toplama işlevi (checkout__input) ve kredi kartı seçim düğmeleri ve bir veri pessfiltration işlevini tıklatır sendStolenData().
Bir kullanıcı 14 basamaktan daha uzun bir kart numarası girdiğinde, skimmer cardNumber Ve billingInfo Alanlar FormData itiraz ve gönderir https://www.pstatics.com/i.
Bu basit ama etkili yaklaşım klasik Magecart taktiklerini yansıtır, ancak enjeksiyon mekanizması ve alan adlandırma modelleri gelişmiştir.
Altyapı ve Pivoting
İlk CC-Analitiklerden dönme[.]com alanında daha geniş bir altyapı ayak izi ortaya çıktı. Urlscan.io arar cc-analytics.com İçeren düzinelerce uzlaşmış e-ticaret sitesi Referanslar, yaygın dağıtımın onaylanması.
Ağ günlükleri, whois kaydı bir kurşun geçirmez barındırma sağlayıcıya bağlanan 45.61.136.141 barındırma IP adresini tanımladı.
Daha fazla pasif DNS ve urlScan pivotları, neredeyse aynı yüklere hizmet veren ek alanlar açığa çıkardı: jgetjs.com, getNjs.com, getVjs.com, getejs.com ve utilanalytics.com.
Paylaşılan IP ve benzeri dizin yapıları, birden fazla kampanyada adlandırma kurallarını (“Get*JS” ve “*Analytics”) yeniden kullanan tek bir tehdit oyuncusu önermektedir.
İlişkili alanların kapsamlı bir listesi ayrıca CC-analytis.com (yazım hatası), YouTuber-DashboardWme.pro, Secfw03secur.com ve hatta 45-61-136-141.cprapid.com alt alanlarını içerir.
Bu alanlar en az bir yıldır aktiftir, bu da yayından kaldırma çabalarından kaçınmak için alanları periyodik olarak döndüren uzun süredir devam eden bir altyapı gösterir.
Çıkarımlar ve tespit
Bu kampanya, Magecart skimmers'ın yarattığı kalıcı tehdidin altını çiziyor: küçük, genel sinyaller - tek bir tweet gibi - kötü amaçlı komut dosyalarının büyük, gizli ağlarını ortaya çıkarabilir.
Güvenlik ekipleri yetkisiz için web sayfalarını izlemelidir Şüpheli alanlara, özellikle de "analytics.com" veya "getJs.com" gibi eşleşen modellere başvuran etiketler. UrlScan, Cuburalwww ve pasif DNS aramaları gibi araçlar tehdit avı ve alan atıfları için paha biçilmezdir.
Tespit stratejileri, komut dosyası kaynaklarını bilinen, denetlenmiş alanlarla sınırlayan içerik güvenliği politikası (CSP) kurallarının uygulanmasını; Yetkisiz DOM değişikliklerini engellemek için çalışma zamanı uygulamasının kendi kendini koruma (RASP) dağıtım; ve beklenmedik harici komut dosyası kapanımları için web varlıklarını periyodik olarak taramak.
Bu ilgili alanları listeleyen tehdit istihbarat yayınlarını entegre etmek, yeni uzlaştırılmış siteler göründüğünde uyarıları otomatikleştirebilir.
Kuruluşlar sadece tanımlanan tüm alan adlarını engellememelidir - finse pozitifler iş sürekliliğini bozabilir - ancak uygulanmadan önce etki alanı itibarını ve senaryo davranışını doğrulamalıdır.
Web sunucusu günlüklerinin ve istemci tarafı hata raporlarının düzenli incelemeleri geç aşama eksfiltrasyon girişimlerini yakalayabilir. Son olarak, güvenlik toplulukları aracılığıyla bilgi paylaşımı yapmak, yeni altyapı keşiflerinin hızlı bir şekilde yayılmasını ve maruz kalma penceresini azaltmasını sağlar.
Bu soruşturma, proaktif tehdit avının, erişilebilir araçlar ve genel sinyallerle birleştiğinde, önemli müşteri kaybından önce saldırgan altyapısını haritalayabileceğini göstermektedir. Bu içgörülerle donanmış güvenlik ekipleri savunmaları güçlendirebilir ve magecart tarzı kampanyaları ölçeklendirebilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X'te takip edin.