Siber güvenlik araştırmacıları, radarın altında kalmak için HTML kodundaki görüntü etiketleri içindeki kötü niyetli içeriği gizleyerek Magento’yu çalıştıran e-ticaret sitelerini hedefleyen bir kredi kartı çalma kötü amaçlı yazılım kampanyasını işaretlediler.
Magecart, çevrimiçi alışveriş sitelerinden hassas ödeme bilgilerini çalabilen bir kötü amaçlı yazılım için verilen addır. Saldırıların, web sitelerini tehlikeye atmak ve hırsızlığı kolaylaştırmak için kredi kartı sıyırıcı dağıtmak için hem müşteri hem de sunucu tarafında geniş bir teknik yelpazesi kullandığı bilinmektedir.
Tipik olarak, bu kötü amaçlı yazılım yalnızca kullanıcılar sahte bir form sunarak veya kurbanların girdiği bilgileri gerçek zamanlı olarak yakalayarak kredi kartı ayrıntılarını girmek için ödeme sayfalarını ziyaret ettiğinde tetiklenir veya yüklenir.
Magecart terimi, çevrimiçi perakendeciler için ödeme ve alışveriş sepeti özellikleri sunan Magento platformu olan bu siber suç gruplarının orijinal hedefine bir referanstır. Yıllar boyunca, bu tür kampanyalar taktiklerini, sahte görüntüler, ses dosyaları, faviconlar ve hatta 404 hata sayfası gibi görünüşte zararsız kaynaklarda kodlama ve gizleme yoluyla kötü amaçlı kodları gizleyerek uyarladı.
Sucuri araştırmacısı Kayleigh Martin, “Bu durumda, müşteriyi etkileyen kötü amaçlı yazılım aynı hedefi takip ediyor – gizli kalmak.” söz konusu. “Bunu, içinde kötü niyetli içeriği gizleyerek yapar etiketgörmezden gelmeyi kolaylaştırıyor. “
“Ortak Uzun dizeler içerecek etiketler, özellikle görüntü dosyası yollarına veya baz 64 kodlu görüntülere başvururken yükseklik ve genişlik gibi ek özellikler. “
Tek fark şu ki Etiket, bu durumda, JavaScript kodunu gösteren Base64 kodlu içerik içeren bir tuzak görevi görür. Onerror Etkinliği tespit edildi. Bu, tarayıcı doğal olarak OnError işlevine güvendiği için saldırıyı çok daha sinsi hale getirir.
Martin, “Bir görüntü yüklenemezse, OneRROR işlevi tarayıcıyı bunun yerine kırık bir görüntü simgesi göstermesini tetikler.” Dedi. “Ancak, bu bağlamda, ONERROR etkinliği, hatayı ele almak yerine JavaScript’i yürütmek üzere kaçırıldı.”
Ayrıca, saldırı, tehdit aktörlerine ek bir avantaj sunuyor. HTML elemanı genellikle zararsız olarak kabul edilir. Kötü amaçlı yazılım, kullanıcının ödeme sayfasında olup olmadığını kontrol eder ve şüphesiz kullanıcıların harici bir sunucuya girdiği hassas ödeme bilgilerini sifonlamak için gönder düğmesine tıklamasını bekler.
Komut dosyası, üç alan, kart numarası, son kullanma tarihi ve CVV ile kötü niyetli bir form eklemek için tasarlanmıştır, bu[.]com.
“Saldırgan, bu kötü niyetli komut dosyasıyla iki etkileyici hedefe ulaşır: Bir İçindeki Kötü Amaçlı Komut dosyasını kodlayarak güvenlik tarayıcıları tarafından kolay algılamadan kaçınmak Etiket ve son kullanıcıların kötü niyetli form eklendiğinde olağandışı değişiklikler fark etmemelerini sağlamak, mümkün olduğunca fark edilmeden kalırlar. “Dedi.
“Magento, WooCommerce, Prestashop ve diğerleri gibi platformları hedefleyen saldırganların amacı, mümkün olduğunca uzun süre tespit edilmemektir ve sitelere enjekte ettikleri kötü amaçlı yazılımlar genellikle diğer siteleri etkileyen daha yaygın bulunan kötü amaçlı yazılımlardan daha karmaşıktır.”
Geliştirme, web sitesi güvenlik şirketi, Mu-Plugins (veya kullanılması gereken eklentiler) dizinini arka kapıları implante etmek ve kötü amaçlı PHP kodunu gizli bir şekilde yürüten bir WordPress sitesini içeren bir olayı detaylandırmıştır.
“Normal eklentilerin aksine, kullanılması gereken eklentiler, etkinleştirmeye veya standart eklenti listesinde görünmeden her sayfa yüküne otomatik olarak yüklenir,” Puja Srivastava söz konusu.
“Saldırganlar, buraya yerleştirilen dosyalar otomatik olarak yürütüldüğü ve WordPress yönetici panelinden kolayca devre dışı bırakılmadığı için, kalıcılığı korumak ve algılamadan kaçmak için bu dizin kullanıyor.”
