Yeni bir kredi kartı çalma kampanyası, Woocommcerce için 'yetkilendirme.net' ödeme ağ geçidi modülünün içindeki kötü amaçlı kodlarını gizleyerek geçmişte gördüğümüzden farklı işleri yapıyor ve ihlalin güvenlik taramalarıyla algılamadan kaçınmasına izin veriyor.
Tarihsel olarak, tehdit aktörleri Woocommerce çalıştıran Macenta veya WordPress gibi bir ticaret sitesini ihlal ettiklerinde, mağazanın veya müşteri kontrol sayfalarının HTML'sine kötü niyetli JavaScript enjekte ederler.
Bu komut dosyaları daha sonra, kredi kartı numaraları, son kullanma tarihleri, CVV numaraları, adresler, telefon numaraları ve e -posta adresleri gibi giriş hakkında girilen müşteri bilgilerini çalacaktır.
Bununla birlikte, birçok çevrimiçi tüccar, kötü niyetli senaryolar bulmak için halka açılan e-ticaret sitelerinin HTML'sini tarayan güvenlik yazılım şirketleri ile çalışıyor ve bu da tehdit aktörlerinin gizli kalmasını zorlaştırıyor.
Tespitten kaçınmak için, tehdit aktörleri artık doğrudan sitenin ödeme sırasında kredi kartı ödemelerini işlemek için kullanılan ödeme ağ geçidi modüllerine kötü amaçlı komut dosyaları enjekte ediyor.
Bu uzantılar genellikle yalnızca bir kullanıcı kredi kartı ayrıntılarını gönderdikten ve mağazada kontrol ettikten sonra çağrıldığından, siber güvenlik çözümleri ile tespit etmek daha zor olabilir.
Kampanya, müşterilerinin sistemlerinden birinde alışılmadık bir enfeksiyonu araştırmak için çağrıldıktan sonra Sucuri'deki web sitesi güvenlik uzmanları tarafından keşfedildi.
WooCommerce, WordPress için tüm çevrimiçi mağazaların yaklaşık% 40'ı tarafından kullanılan popüler bir e -ticaret platformudur.
Sitedeki kredi kartlarını kabul etmek için depolar, dünya çapında 440.000 tüccar tarafından kullanılan popüler bir işlemci olan jomersize.net gibi bir ödeme işleme sistemi kullanır.
Sakasalanan sitede Sucuri, tehdit aktörlerinin, ödeme ağ geçidinin WooCommerce ortamlarına entegrasyonunu destekleyen yetkililer.net'in dosyalarından biri olan "Class-WC-WC-WC-WC-WC-WC-WC-WC-WC-WC-WC-WC-WC-WC-NET-CIM.php" dosyasını değiştirdiğini keşfetti.
Dosyanın altına enjekte edilen kod, HTTP istek gövdesi "WC-WC-Net-CIM-Credit-Card-Account-Number" dizesini içeriyorsa, bir kullanıcının arabalarını kontrol ettikten sonra ödeme verilerini taşıdığı anlamına gelir. mağaza.
Eğer öyleyse, kod rastgele bir şifre oluşturur, kurbanın ödeme ayrıntılarını AES-128-CBC ile şifreler ve saldırganların daha sonra aldığı bir görüntü dosyasında saklar.
Saldırganlar tarafından gerçekleştirilen ikinci bir enjeksiyon "WC-WC-WC-WC-WC-NET-CIM.min.js", ayrıca bir yetkili dosyası.
Enjekte edilen kod, kurbanın adını, nakliye adresini, telefon numarasını ve zip/posta kodunu kesmeyi amaçlayan enfekte olmuş web sitesindeki giriş formu öğelerinden ek ödeme ayrıntıları yakalar.
Bu kampanyanın bir diğer dikkat çekici yönü, sıyırıcı ve işlevlerinin gizliliğidir, bu da keşfetmeyi ve kökünden sökülmeyi zorlaştırır, bu da uzun süreli veri açığa çıkmasına yol açar.
İlk olarak, kötü amaçlı kod meşru ödeme ağ geçidi dosyalarına enjekte edildi, böylece web sitelerinin genel HTML'sini tarayan veya şüpheli dosya eklemeleri arayan düzenli denetimler herhangi bir sonuç vermeyecek.
İkincisi, bir görüntü dosyasında çalınan kredi kartı ayrıntılarını kaydetmek yeni bir taktik değildir, ancak güçlü şifreleme, saldırganların algılamadan kaçmasına yardımcı olan yeni bir unsurdur. Geçmiş vakalarda, tehdit aktörleri çalınan verileri düz metin formunda sakladı, zayıf, baz64 kodlama kullandı veya ödeme sırasında çalınan bilgileri saldırganlara aktardı.
Üçüncüsü, tehdit aktörleri WordPress'in kalp atışı API'sını, düzenli trafiği taklit etmek ve eksfiltrasyon sırasında kurbanların ödeme verileriyle karıştırmak için kötüye kullanırlar, bu da yetkisiz veri söndürme için güvenlik araçları izlemesinden algılamalarından kaçmasına yardımcı olur.
Magecart aktörleri taktiklerini geliştirdikçe ve giderek daha fazla WooCommerce ve WordPress sitelerini hedefledikçe, web sitesi sahiplerinin ve yöneticilerinin uyanık kalmaları ve sağlam güvenlik önlemlerini zorlaması şarttır.
Sukuri tarafından keşfedilen bu son kampanya, kredi kartı sıyırma saldırılarının artan sofistike olmasını ve saldırganların güvenliği atlamada yaratıcılığını vurgulamaktadır.
WordPress Force Patch WooCommerce eklentisi 500K yüklemeli
Fakealls Android kötü amaçlı yazılım, telefonlarda gizlenmenin yeni yollarıyla dönüyor
Bidencash Pazarı 2 milyondan fazla çalıntı kredi kartı sızıyor
Wordpress Houzez temasında kritik kusurlar, kamyonet web siteleri için sömürüldü
Bu eklenti anlaşmasıyla WordPress sitenize chatgpt ekleyin
Kaynak: Bleeping Computer