Siber güvenlik araştırmacıları, tespit edilmekten kaçınmak amacıyla sahte bir Meta Pixel takip komut dosyası içine gizlenmiş bir kredi kartı şifreleyici keşfetti.
Sucuri, kötü amaçlı yazılımın, Basit Özel CSS ve JS gibi WordPress eklentileri veya Magento yönetici panelinin “Çeşitli Komut Dosyaları” bölümü gibi özel kodlara izin veren araçlar aracılığıyla web sitelerine enjekte edildiğini söyledi.
Güvenlik araştırmacısı Matt Morrow, “Özel komut dosyası düzenleyicileri, harici üçüncü taraf (ve kötü amaçlı) JavaScript’e izin verdikleri ve Google Analytics gibi popüler komut dosyaları veya JQuery gibi kitaplıklarla eşleşen adlandırma kurallarından yararlanarak kolayca zararsızmış gibi davranabildikleri için kötü aktörler arasında popülerdir” dedi. .
Web güvenlik şirketi tarafından tespit edilen sahte Meta Pixel izleme komut dosyası, meşru emsaliyle benzer öğeler içeriyor ancak daha yakından incelendiğinde, “connect.facebook” alan adına yapılan referansların yerine geçen JavaScript kodunun eklendiği ortaya çıkıyor.[.]net” ile “b-bağlı”[.]com.”
İlki, Pixel izleme işlevine bağlı gerçek bir alan adı olsa da, yedek alan adı, bir kurbanın ödeme sayfasında olup olmadığını izleyen ve eğer öyleyse, sahtekarlık amaçlı ek bir kötü amaçlı komut dosyası (“fbevents.js”) yüklemek için kullanılır. kredi kartı ayrıntılarını almak için yer paylaşımı.
“B-bağlantılı” olduğunu belirtmekte fayda var[.]com”, bir noktada skimmer kodunu barındırmak üzere tehlikeye atılmış meşru bir e-ticaret web sitesidir. Dahası, sahte forma girilen bilgiler, güvenliği ihlal edilmiş başka bir siteye (“www.donjuguetes) sızar.[.]es”).
Bu tür riskleri azaltmak için sitelerin güncel tutulması, yönetici hesaplarının tamamının geçerli olup olmadığını belirlemek için düzenli olarak gözden geçirilmesi ve şifrelerin sık sık güncellenmesi önerilir.
Tehdit aktörlerinin, hedef siteye daha yüksek erişim sağlamak ve daha sonra ek eklentiler ve arka kapılar eklemek de dahil olmak üzere çeşitli diğer etkinlikleri gerçekleştirmek için kullanılan hileli yönetici kullanıcıları eklemek için WordPress eklentilerindeki zayıf şifrelerden ve kusurlardan yararlandıkları bilindiğinden bu özellikle önemlidir.
Morrow, “Kredi kartı hırsızları genellikle ‘ödeme’ veya ‘tek sayfa’ gibi anahtar kelimeleri bekledikleri için ödeme sayfası yüklenene kadar görünür hale gelmeyebilirler” dedi.
“Çoğu ödeme sayfası, çerez verilerine ve sayfaya iletilen diğer değişkenlere dayalı olarak dinamik olarak oluşturulduğundan, bu komut dosyaları genel tarayıcılardan kaçar ve kötü amaçlı yazılımı tanımlamanın tek yolu, sayfa kaynağını kontrol etmek veya ağ trafiğini izlemektir. Bu komut dosyaları, tarayıcıda sessizce çalışır. arka plan.”
Gelişme, Sucuri’nin ayrıca WordPress ve Magento ile oluşturulan sitelerin Magento Shoplift adlı başka bir kötü amaçlı yazılımın hedefi olduğunu ortaya çıkarmasıyla ortaya çıktı. Magento Shoplift’in önceki çeşitleri Eylül 2023’ten bu yana vahşi doğada tespit edildi.
Saldırı zinciri, jqueurystatics’ten ikinci bir betiğin yüklenmesinden sorumlu meşru bir JavScript dosyasına gizlenmiş bir JavaScript pasajının enjekte edilmesiyle başlar.[.]com’u WebSocket Secure (WSS) aracılığıyla kullanıyor; bu da, bir Google Analytics komut dosyası gibi görünerek kredi kartının gözden geçirilmesini ve veri hırsızlığını kolaylaştırmak için tasarlandı.
Araştırmacı Puja Srivastava, “WordPress, bir WordPress sitesini kolayca tam özellikli bir çevrimiçi mağazaya dönüştürebilen Woocommerce ve diğer eklentilerin benimsenmesi sayesinde e-ticarette de büyük bir oyuncu haline geldi” dedi.
“Bu popülerlik aynı zamanda WordPress mağazalarını da birincil hedef haline getiriyor ve saldırganlar MageCart e-ticaret kötü amaçlı yazılımlarını daha geniş bir CMS platform yelpazesini hedef alacak şekilde değiştiriyor.”