Siber güvenlik araştırmacıları sahte bir kimlik kartının içine gizlenmiş bir kredi kartı şifreleyici keşfetti Meta Piksel izleme komut dosyası tespit edilmekten kaçınmak amacıyla.
Sucuri, kötü amaçlı yazılımın, Simple Custom CSS ve JS gibi WordPress eklentileri veya “Çeşitli Komut DosyalarıMagento yönetici panelinin ” bölümü.
Güvenlik araştırmacısı Matt Morrow, “Özel komut dosyası düzenleyicileri kötü aktörler arasında popülerdir çünkü harici üçüncü taraf (ve kötü amaçlı) JavaScript’e izin verirler ve Google Analytics gibi popüler komut dosyalarıyla veya JQuery gibi kitaplıklarla eşleşen adlandırma kurallarından yararlanarak kolayca zararsızmış gibi davranabilirler.” söz konusu.
Web güvenlik şirketi tarafından tanımlanan sahte Meta Pixel izleme komut dosyası, yasal muadili ile benzer öğeler içeriyor ancak daha yakından incelendiğinde, “connect.facebook” alanına yapılan referansların yerine geçen JavaScript kodunun eklendiği ortaya çıkıyor.[.]net” ile “b-bağlı”[.]com.”
Birincisi bir iken orijinal etki alanı Pixel izleme işlevine bağlı olan yedek alan adı, bir kurbanın ödeme sayfasında olup olmadığını izleyen ek bir kötü amaçlı komut dosyası (“fbevents.js”) yüklemek için kullanılır ve eğer öyleyse, kredi kartı ayrıntılarını ele geçirmek için sahte bir katman sunar. .
“B-bağlantılı” olduğunu belirtmekte fayda var[.]com”, bir noktada skimmer kodunu barındırmak üzere tehlikeye atılmış meşru bir e-ticaret web sitesidir. Dahası, sahte forma girilen bilgiler, güvenliği ihlal edilmiş başka bir siteye (“www.donjuguetes) sızar.[.]es”).
Bu tür riskleri azaltmak için sitelerin güncel tutulması, yönetici hesaplarının tamamının geçerli olup olmadığını belirlemek için düzenli olarak gözden geçirilmesi ve şifrelerin sık sık güncellenmesi önerilir.
Tehdit aktörlerinin, hedef siteye daha yüksek erişim sağlamak ve daha sonra ek eklentiler ve arka kapılar eklemek de dahil olmak üzere çeşitli diğer etkinlikleri gerçekleştirmek için kullanılan hileli yönetici kullanıcıları eklemek için WordPress eklentilerindeki zayıf şifrelerden ve kusurlardan yararlandıkları bilindiğinden bu özellikle önemlidir.
Morrow, “Kredi kartı hırsızları genellikle ‘ödeme’ veya ‘tek sayfa’ gibi anahtar kelimeleri bekledikleri için ödeme sayfası yüklenene kadar görünür hale gelmeyebilirler” dedi.
“Çoğu ödeme sayfası, çerez verilerine ve sayfaya iletilen diğer değişkenlere dayalı olarak dinamik olarak oluşturulduğundan, bu komut dosyaları genel tarayıcılardan kaçar ve kötü amaçlı yazılımı tanımlamanın tek yolu, sayfa kaynağını kontrol etmek veya ağ trafiğini izlemektir. Bu komut dosyaları, tarayıcıda sessizce çalışır. arka plan.”
Gelişme, Sucuri’nin ayrıca WordPress ve Magento ile oluşturulan sitelerin Magento Shoplift adlı başka bir kötü amaçlı yazılımın hedefi olduğunu ortaya çıkarmasıyla ortaya çıktı. Magento Shoplift’in önceki çeşitleri Eylül 2023’ten bu yana vahşi doğada tespit edildi.
Saldırı zinciri, jqueurystatics’ten ikinci bir betiğin yüklenmesinden sorumlu meşru bir JavScript dosyasına gizlenmiş bir JavaScript pasajının enjekte edilmesiyle başlar.[.]com’u WebSocket Secure (WSS) aracılığıyla kullanıyor; bu da, bir Google Analytics komut dosyası gibi görünerek kredi kartının gözden geçirilmesini ve veri hırsızlığını kolaylaştırmak için tasarlandı.
Araştırmacı Puja Srivastava, “WordPress, bir WordPress sitesini kolayca tam özellikli bir çevrimiçi mağazaya dönüştürebilen Woocommerce ve diğer eklentilerin benimsenmesi sayesinde e-ticarette de büyük bir oyuncu haline geldi.” söz konusu.
“Bu popülerlik aynı zamanda WordPress mağazalarını da birincil hedef haline getiriyor ve saldırganlar MageCart e-ticaret kötü amaçlı yazılımlarını daha geniş bir CMS platform yelpazesini hedef alacak şekilde değiştiriyor.”
