Siber güvenlik araştırmacıları, Mongolian Skimmer adlı bir skimmer’ı gizlemek için Unicode gizleme tekniklerinden yararlanan yeni bir dijital skimmer kampanyasına ışık tuttu.
Jscrambler araştırmacıları, “İlk bakışta göze çarpan şey, senaryonun karmaşıklığıydı; bu, tüm aksanlı karakterler nedeniyle biraz tuhaf görünüyordu.” söz konusu bir analizde. “Birçoğu görünmez olan Unicode karakterlerin yoğun kullanımı, kodun insanlar tarafından okunmasını çok zorlaştırıyor.”
Senaryonun özünde yararlanıcı olduğu ortaya çıktı JavaScript’in yeteneği Kötü amaçlı işlevselliği gizlemek için tanımlayıcılarda herhangi bir Unicode karakteri kullanmak.
Kötü amaçlı yazılımın nihai hedefi, finansal bilgiler de dahil olmak üzere e-ticaret ödeme veya yönetici sayfalarına girilen hassas verileri çalarak daha sonra saldırganın kontrolündeki bir sunucuya sızdırmaktır.
Tipik olarak, harici bir sunucudan gerçek veri yükünü alan, tehlikeye atılmış sitelerde satır içi bir komut dosyası biçiminde ortaya çıkan skimmer, aynı zamanda bir web tarayıcısı açıldığında belirli işlevleri devre dışı bırakarak analiz ve hata ayıklama çabalarından kaçmaya çalışır. geliştirici araçları açıldı.
Jscrambler’dan Pedro Fortuna, “Skimmer, hem modern hem de eski olay işleme tekniklerini kullanarak farklı tarayıcılar arasında uyumluluğu sağlamak için iyi bilinen teknikleri kullanıyor.” dedi. “Bu, tarayıcı sürümlerine bakılmaksızın geniş bir kullanıcı yelpazesini hedefleyebileceğini garanti ediyor.”
İstemci tarafı koruma ve uyumluluk şirketi, aynı zamanda, skimmer komut dosyasını yalnızca kaydırma, fare hareketleri ve dokunmatik başlangıç tespit edilir.
Bu tekniğin hem etkili bir anti-bot önlemi hem de deniz süpürücüsünün yüklenmesinin performans darboğazlarına neden olmamasını sağlamanın bir yolu olarak hizmet edebileceğini ekledi.
Moğol deniz süpürücüsünü teslim etmek için ele geçirilen Magento sitelerinden birinin de bir kişi tarafından hedef alındığı söyleniyor. ayrı skimmer oyuncusuiki etkinlik kümesi birbiriyle etkileşime girmek ve kârı paylaşmak için kaynak kodu yorumlarından yararlanıyor.
24 Eylül 2024’te tehdit aktörlerinden biri “50/50 belki?” dedi. Üç gün sonra diğer grup şu yanıtı verdi: “50/50 katılıyorum, kodunuzu ekleyebilirsiniz :)”
Daha sonra 30 Eylül’de ilk tehdit aktörü yanıt vererek “Peki ama sizinle nasıl iletişime geçebilirim? Bir istismar hesabınız mı var?” [sic],” muhtemelen Exploit siber suç forumuna atıfta bulunuyor.
Fortuna, “Bu deniz süpürücüsünde bulunan gizleme teknikleri, eğitimsiz bir göze yeni bir gizleme yöntemi gibi görünebilir, ancak durum böyle değildi” dedi. “Daha karmaşık görünmek için eski teknikleri kullandı, ancak bunları tersine çevirmek de aynı derecede kolay.”
