Saldırganlar, Magento platformu üzerine inşa edilmiş e-ticaret sitelerine kötü amaçlı kod ekleyerek Google Tag Manager’dan yararlanıyor. Kod, Google’ın ücretsiz, meşru web sitesi pazarlama aracından yararlanan yeni bir Magecart saldırısı türü göstererek ödeme kartı verilerini çalabilir.
Sucuri’den araştırmacılar devam eden bir Magecart kampanyası Saldırganların bir veritabanından e-ticaret sitelerine standart bir Google Etiket Yöneticisi (GTM) ve Google Analytics izleme komut dosyası gibi görünen kod yükledikleri. Bu izleme komut dosyaları genellikle web sitesi analizi ve reklam amaçlı kullanılır; Ancak, kampanyada kullanılan kod, enfekte olmuş site için bir kart sıyırıcısı olarak hareket etmek için ayarlandı, araştırmacılar Son blog yazısı.
Sucuri güvenlik analisti Puja Srivastava, “GTM etiketinde kredi kartı sıyırıcısı olarak işlev gören kodlanmış bir JavaScript yükü vardı.” “Bu komut dosyası, ödeme işlemi sırasında kullanıcılar tarafından girilen hassas verileri toplamak ve saldırganlar tarafından kontrol edilen uzak bir sunucuya göndermek için tasarlanmıştır.”
Şimdiye kadar Sucuri, kampanyadan etkilenen en az altı siteyi ortaya çıkardı ve “bu tehdidin birden fazla siteyi aktif olarak etkilediğini gösteriyor” diye yazdı Srivastava.
Kart Gözlemi için Meşru bir Google Aracıdan yararlanmak
Saldırı, Google’dan web sitesi sahiplerinin sitenin kodunu doğrudan değiştirmeye gerek kalmadan web sitelerinde pazarlama etiketlerini yönetmesine ve dağıtmasına izin veren meşru bir ücretsiz araçtan yararlanan tipik olmayan bir Magecart saldırısı gösteriyor. GTM, bir pazarlamacı bir reklam veya pazarlama kampanyasını her izlemeyi veya değiştirmeyi amaçladığında geliştirici müdahalesine olan ihtiyacı ortadan kaldırır.
Sucuri araştırmacıları, birisinin e-ticaret sitesinden kredi kartı ödeme verileri çaldığını tespit eden bir müşteri tarafından Magecart etkinliğinde uyarıldı. Bir soruşturma, Web sitesi için CMS_BLOCK.Content dosyasından bir veritabanı tablosundan kötü amaçlı yazılımların yüklenmesine yol açtı. Kötü amaçlı yazılım, bir GTM etiketini istismar etti; bu, Kredi Kartı Skimmer.
Saldırganlar, dizin değerlerini dizideki belirli karakterlerle eşleştiren _0x5cdc teknik işlevini kullanarak komut dosyasını gizledi. Srivastava, bu, birisinin senaryanın amacını hemen anlamasını zorlaştırıyor.
Komut dosyası ayrıca bir döngüde bir dizi matematiksel işlem kullanır, kodu daha da karıştırır ve ayrıca Base64 kodlamasını kullanır. “Bu, saldırganlar tarafından senaryanın gerçek amacını gizlemek için sıklıkla kullanılan bir numara.”
Araştırmacılar ayrıca, web sitesinin dosyalarından birinde “siteye daha fazla enfekte etmek için kullanılabilecek ve saldırganlara sürekli erişim sağlayan” bir şekilde konuşulmamış bir arka kapı keşfettiler. Gerçekten de, geçen yıl Magecart saldırganları yeni bir taktik gösterdi. Web Sitelerinde Back Doors saklamak kötü amaçlı yazılımları otomatik olarak dağıtmak için.
Sucuri de daha önce araştırılmış GTM’yi kötü niyetli aktivite türlerinin yanı sıra kötü niyetli pop-up’lar ve yönlendirmeler de dahil olmak üzere diğer kötü amaçlı etkinlik türlerini gizlemek için kötüye kullanan kötü niyetli etkinlik.
Magecart saldırılarının azaltılması ve iyileştirilmesi
“Magecart”, çevrimiçi ödeme kartı süzme saldırılarında yer alan siber suçlu grupların gevşek bir kolektifini ifade eder. Bu saldırılar genellikle daha sonra para kazanılabilecek ödeme kartı verilerini çalmak için web sitelerine kart sıyırıcı enjekte eder. Bu saldırılar tarafından hedeflenen büyük isim kuruluşları arasında Ticketmaster– British Airwaysve Green Bay Packers NFL Takımı.
Müşterilerinin sitesindeki enfeksiyon kaynağını belirledikten sonra Sucuri araştırmacıları, kötü amaçlı yazılımları yeniden tanıtılmasını önlemek için kötü niyetli kodu sitenin diğer tehlikeye atılmış alanlarından çıkardılar.
Bir kuruluşun e-ticaret sitesinin kampanyadan etkilenmemesini sağlamak için, yöneticiler GTM’ye giriş yapmalı ve daha sonra sitede kullanılan şüpheli etiketleri tanımlamalı ve silmelidir. Ayrıca, diğer kötü amaçlı yazılımları veya backdoorları algılamak ve kötü amaçlı komut dosyalarını veya arka kapı dosyalarını kaldırması için tam bir web sitesi taraması gerçekleştirmelidir.
Magento üzerine inşa edilmiş e-ticaret siteleri ve uzantıları da en son güvenlik yamaları ile güncellenmelidir, tüm site yöneticileri ise olağandışı bir şey için E-ticaret sitesi trafiğini ve GTM etkinliğini düzenli olarak izlemelidir.
