Gelişmiş bir kredi kartı şifreleyici kötü amaçlı yazılımın, WordPress ödeme sayfalarını vurduğu ve hassas ödeme ayrıntılarını elde etmek için veritabanı kayıtlarına sessizce kötü amaçlı JavaScript enjekte ettiği tespit edildi.
Saldırganlar, ödeme bilgilerini gizlice ve fark edilmeden çalmak için mevcut ödeme alanlarını kullanabilir veya sahte kredi kartı formu ekleyebilir.
Veritabanı Enjeksiyonu Yoluyla WordPress Ödeme Sayfalarını Hedefler
Sucuri, kötü amaçlı kodun WordPress veritabanına wp_options tablosuna eklendiğini iddia ediyor. Kötü amaçlı yazılım, tema dosyaları veya eklentiler yerine kendisini veritabanına yerleştirerek popüler dosya tarama araçlarının tespitinden kaçınır. Bu, ele geçirilen WordPress web sitelerinde gizlice devam etmesini sağlar.
WordPress yönetici panelini (wp-admin > widgets) kullanarak, kötü amaçlı JavaScript’in HTML blok widget’ına enjekte edildiği keşfedildi.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Komut dosyası ilk olarak sayfa URL’sinin “sepet” hariç “ödeme” içerip içermediğini belirler. Bu, tüketiciler ödeme bilgilerini girmeye hazır olana kadar kötü amaçlı yazılımın başlamadığı anlamına geliyor.
“Dinamik olarak meşru ödeme işlemcilerini (örn. Stripe) taklit eden sahte bir ödeme formu oluşturuyor. Araştırmacılar, formun kredi kartı numarası, son kullanma tarihi, CVV ve fatura bilgileri için alanlar içerdiğini söyledi.
“Sayfada zaten meşru bir ödeme formu varsa, komut dosyası bu alanlara girilen verileri gerçek zamanlı olarak yakalar.”
Bu yöntem, kullanıcıların farkında olmadan hassas ödeme bilgilerini saldırgana vermesini sağlar.
Kötü amaçlı yazılım, çalınan verileri gizlemek için AES-CBC şifrelemesini Base64 kodlamasıyla birleştiriyor. Bu, verilerin aktarım sırasında zararsız görünmesine neden olur ve analizi zorlaştırır.
Çalınan veriler şifrelendikten sonra uzaktaki saldırganın kontrolündeki bir sunucuya iletilir. Toplanan bilgiler valhafather gibi alanlara gönderilir[.]xyz ve fqbe23[.]xyz.xyz
Kötü Amaçlı Yazılımı Kaldırmak İçin
Özel HTML Widget’larını İnceleyin
- WordPress yönetici panelinize giriş yapın.
- wp-admin > Görünüm > Widget’lar’a gidin.
- Tüm Özel HTML blok widget’larını şüpheli veya tanıdık olmayan öğeler açısından kontrol edin
Kasım 2024’te araştırmacılar, kredi kartı şifreleyici kötü amaçlı yazılımların Magento destekli e-Ticaret web sitelerini hedef aldığını bildirdi.
Skimmer, dosya sistemi ve veritabanı kötü amaçlı yazılımlarının birleşiminden oluşan enfeksiyonun tespitinden kaçınmak için karmaşık gizleme teknikleri kullandı.
Bu nedenle, en son güvenlik güncellemelerini dağıtmanız ve web sitenizi düzenli olarak güncellemeniz önerilir. Alternatif olarak, bir web uygulaması güvenlik duvarı (WAF) kullanılarak sanal yama uygulanabilir.
Saldırganların sunucunuza erişmesini engellemek için Web Uygulaması Güvenlik Duvarı, dosya bütünlüğü izleme ve iki faktörlü kimlik doğrulamayı kullanın.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!