Tehdit avcıları, eski bir uygulama programlama arayüzünden (API) ödeme işlemcisi çizgisinden, atılmadan önce çalınan ödeme bilgilerini doğrulamak için eski bir uygulama programlama arayüzünden (API) yararlanan sofistike bir Web Shimmer kampanyası uyarıyor.
JScrambler Araştırmacıları Pedro Fortuna ve Pedro Marrucho, “Bu taktik, saldırganlara yalnızca geçerli kart verilerinin gönderilmesini sağlıyor.” söz konusu bir raporda.
49 tüccarın kampanyadan bugüne kadar etkilendiği tahmin edilmektedir. Geri ihlal edilen sahaların on beşi kötü amaçlı komut dosyası enjeksiyonlarını kaldırmak için harekete geçti. Etkinliğin en az 20 Ağustos 2024’ten beri devam ettiği değerlendirilmektedir.
Kampanyanın ayrıntıları İlk Boşaltılmış Şubat 2025’in sonuna doğru güvenlik firması kaynak savunması ile Web Skimmer’ın kullanımını detaylandırarak “api.stripe[.]com/v1/kaynaklar“Uygulamaların çeşitli ödeme yöntemlerini kabul etmesine izin veren API. Bitiş noktası o zamandan beri yeni PaybactMethods API lehine kullanımdan kaldırılmıştır.
Saldırı zincirleri, JavaScript Skimmer için, sipariş ödeme sayfalarında meşru ödeme formunu kesmek ve gizlemek, meşru şerit ödeme ekranının bir kopyasını sunmak, kaynak API’sını kullanarak doğrulamak ve daha sonra Base64-Çizilmiş Format’ta bir uzak sunucuya iletmek için tasarlanmış başlangıç dağıtım noktası olarak kötü niyetli alanlar kullanır.
JScrambler, operasyonun arkasındaki tehdit aktörlerinin muhtemelen ilk aşama komut dosyasını implante etmek için WooCommerce, WordPress ve Prestashop’taki güvenlik açıklarından ve yanlış yapılandırmalardan yararlandığını söyledi. Bu yükleyici komut dosyası, Base64 kodlu bir sonraki aşamayı deşifre etmeye ve başlatmaya hizmet eder, bu da Skimmer’a işaret eden URL’yi içerir.
Araştırmacılar, “Yoklama senaryosu meşru şerit iframe gizliyor ve görünüşünü taklit etmek için tasarlanmış kötü niyetli biriyle kaplıyor.” Dedi. “Aynı zamanda gerçek olanı gizleyerek ‘Yer Siparişi’ düğmesini klonlıyor.”
Ayrıntılar açıklandıktan sonra, kullanıcılar sayfaları yeniden yüklemelerini isteyen bir hata mesajı görüntülenir. Komut dosyasının, hedeflenen her siteye göre uyarlanmış gibi görünmesi nedeniyle son skimmer yükünün bir tür araç kullanılarak oluşturulduğunu gösteren bazı kanıtlar vardır.
Güvenlik şirketi ayrıca, kare bir ödeme formunu taklit eden skimmer komut dosyalarını ortaya çıkardığını ve tehdit aktörlerinin muhtemelen birkaç ödeme hizmeti sağlayıcısını hedeflediğini düşündürdü. Ve hepsi bu değil. Yoklama kodu, bitcoin, eter (Ethereum), tether ve litecoin gibi kripto para birimleri kullanarak başka ödeme seçenekleri eklenmiştir.
Araştırmacılar, “Bu sofistike web sıyırma kampanyası, saldırganların tespit edilmemek için kullandıkları gelişen taktikleri vurgulamaktadır.” Dedi. “Ve bir bonus olarak, geçersiz kredi kartı verilerini etkili bir şekilde filtreleyerek yalnızca geçerli kimlik bilgilerinin çalınmasını sağlıyorlar.”
