Yeni bir kötü amaçlı yazılım skimmer, Magento destekli e-Ticaret web sitelerini hedef alıyor ve ödeme sayfalarından hassas kredi kartı bilgilerini çalıyor.
Bu kötü amaçlı yazılım, dinamik olarak sahte bir kredi kartı formu oluşturur veya doğrudan ödeme alanlarını çıkararak yalnızca ödeme sayfalarında etkinleştirir. Daha sonra çalınan bilgiler şifrelenir ve uzak bir sunucuya aktarılır.
Sucuri, gönderisinde şöyle açıklıyor: “Bu gelişmiş hesaplayıcı, sahte formlar enjekte ederek veya canlı giriş alanlarını çıkararak hassas ödeme verilerini çalmak için Magento ödeme sayfalarını hedef alıyor.”
“Dinamik yaklaşımı ve şifreleme mekanizmaları tespit edilmesini zorlaştırıyor”.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Kredi Kartı Bilgilerini Çalan Kötü Amaçlı Yazılım
Rutin bir değerlendirme sırasında Sucuri güvenlik uzmanı Weston Henry, kötü amaçlı bir komut dosyasının tespit edildiği bir saldırı tespit etti. Araç, kara listeye alınan dinamikopenfonts.app alanından gelen bir kaynak algıladı.
Aşağıdakiler de dahil olmak üzere üç farklı alan söz konusuydu:
- dinamikopenfontlar[.]uygulama
- Statik yazı tipleri[.]iletişim
- Statik yazı tipleri[.]iletişim
.webp)
Harici komut dosyasının içeriği, keşfedilmeyi önlemek için gizlenmiştir ve bu da ilk bakışta tanınmasını zorlaştırmaktadır. Komut dosyası yürütüldükten sonra yalnızca URL’sinde “ödeme” kelimesi bulunan ancak “sepet” kelimesi bulunmayan sayfalarda etkinleşir.
.webp)
Araştırmacılar, “Komut dosyası, ödeme sayfasındaki belirli alanlardan hassas kredi kartı bilgilerini çıkarmak için tasarlandı” diye açıklıyor.
Kötü amaçlı yazılım daha sonra kullanıcının adı, adresi, telefon numarası, e-posta adresi ve diğer fatura ayrıntıları gibi daha fazla kullanıcı verisi toplamak için Magento’nun API’lerini kullanıyor. Bu bilgiyi elde etmek için Magento’nun müşteri verileri ve teklif modelleri kullanılır.
Bilgiyi korumak ve bulunmasını zorlaştırmak için başlangıçta JSON olarak kodlanır. Daha sonra ek bir gizleme katmanı eklemek için “script” anahtarı kullanılarak XOR ile şifrelenir.
Son olarak, güvenli teslimatı garanti etmek için şifrelenmiş verilere Base64 kodlaması uygulanır.
.webp)
Kötü amaçlı yazılım, kullanıcı saldırıya uğramış form veya alanlar aracılığıyla ödeme bilgilerini girdikten sonra çalınan verileri topluyor ve şifreliyor. Daha sonra bu verileri staticfonts.com adresinde bulunan uzak bir sunucuya göndermek için bir işaret yaklaşımı kullanılır.
İşaretleme tekniği, bir programın veya komut dosyasının bir istemciden (kullanıcının tarayıcısı veya cihazı gibi) verileri kullanıcıyı uyarmadan veya etkinliklerine müdahale etmeden uzak bir sunucuya sessiz ve görünmez bir şekilde iletmesi için kullanılan bir yoldur.
Base64 kodlu URL’nin (aHR0cHM6Ly9zdGF0aWNmb250cy5jb20=) kodu hxxps://staticfonts olarak çözülür[.]com, çalınan kredi kartı verilerinin gönderildiği yerdir.
Bu nedenle, e-Ticaret platformunuzu korumak için sık sık güvenlik denetimleri yapmanız, tuhaf davranışlara karşı dikkatli olmanız ve güçlü bir WAF kullanmanız önerilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın