BleepingComputer, e-sigara ve vaping kitlerinin önde gelen çevrimiçi bir çevrimiçi satıcısı olan Element Vape'yi teyit etti.
Saldırı bu raporla aynı gün aynı gün çözüldü, ancak müşterilerin herhangi bir şüpheli kredi kartı işleminin uyarılması tavsiye edilir.
ABD ve Kanada'da varlığı ile, Element Vape, hem perakende satış noktalarında hem de çevrimiçi mağazalarda e-sigarayı, vaping cihazları, e-sıvıları ve CBD ürünlerini satıyor.
Eleman Vape'nin web sitesi, bugün BleepingComputer tarafından görüldüğü gibi, bir kredi kartı vb.
Bu tür kredi kartı istihdam eden tehdit aktörleri, komut dosyalarını enjekte ederek e-ticaret mağazalarında çerezler, MAGECART olarak adlandırılır.
Mağazanın birden fazla web sayfası, ana sayfadan başlayarak, aşağıda gösterilen HTML kaynak kodunun (45-50) satırlarında görülebilen belirsiz bir Base64 kodlu komut dosyasını içermektedir:
ElementVape.com'da kötü amaçlı komut dosyasının ne kadar sürdüğü için tam olarak bilinmiyor.
Wayback Makinesi üzerindeki ElementVape.com analizimiz, 5 Şubat 2022 ve daha önce kötü amaçlı kodun yoktu. Bu nedenle, enfeksiyon, tarihten sonra bir süre sonra ortaya çıkan ve yine de yazma sırasında aktif görünüyor.
Kodu çözüldüğünde, bu altı çizgi, üçüncü taraf bir sitede barındırılan aşağıdaki JavaScript dosyasında çeker:
Ağır şaşkın kötü amaçlı yükleme yükü bu frontend.js dosyasında sonuna doğru devam eder:
Yukarıdaki komut dosyası, BleepingComputer tarafından kodu çözülüp analiz edildiğinde, müşterilerin ödeme kartını ve ödeme bilgisini ödeme hakkında tahsil ederken görüldü.
Komut dosyasının aradığı alanlardan bazıları şunlardır: e-posta adresi, ödeme kartı numarası / son kullanma tarihi, telefon numarası, sokak ve posta kodu dahil fatura adresi.
Bu bilgi daha sonra saldırgana, komut dosyasında bulunan şaşkın, hardcoded bir telgraf adresi aracılığıyla etkilenir:
Ayrıca, komut dosyası, bir Sandbox ortamında veya "devtools" nin analizi caydırmak için "devtools" olarak çalıştırılmadığını kontrol eden anti-teri-mühendislik özellikleri içerir.
ElementVape.com'un, kötü amaçlı betiğinde gizlice girmek için ilk başta nasıl değiştirildi.
Ve bu, ilk defa Element Vape de tehlikeye girmedi.
2018 yılında Element Vape müşterileri, bir veri ihlalinin meydana geldiğini ve "6, 2017 ve 27 Haziran 2018 tarihleri arasında izin verme penceresi", müşterilerin kişisel bilgilerini tehdit aktörlerine potansiyel olarak maruz bıraktığını belirten mektuplar aldığını bildirdi. Eleman Vape, iddiaları Şirket'in Reddit hesabı olarak göründüğü ile onayladı.
Bu etkinliğin ardından, Illinois merkezli tüketici Artur Tyksinski, vaping perakendecinin "Veri İhlali'nin etkilenen bireylerini zamanında bildirmedi" iddiasını kabul ettiğini iddia etti ve müşterilerin gizli bilgilerine yetkisiz erişimi engellemek için yeterli prosedüre sahip değildi. Bunu 2019'da bir sınıf eylem davası izledi, jüri tarafından yargılanıyordu.
Sözde "Dünyanın en büyük çevrimiçi vape perakendecilerinden biri", perakende mağazalarında ve çevrimiçi olarak e-sigaraların "en büyük çevrimiçi vape perakendecilerinden biri" olmasına rağmen, çok fazla değil, Element Vape hakkında kolayca bilinmektedir.
Bazı eyaletlerde THESY LLC olarak bilinen Element Vape'nin Twitter hesabı 13.000'den fazla kullanıcının izlenmesini gösterir.
Ancak, garip bir şekilde, tweetler korunur, perakendeciyle etkileşime girmeyi zorlaştırır.
Şirket, web sitesine göre California merkezlidir ve 2013'ten bu yana faaliyette bulunmaktadır.
"Kişisel felsefemiz, tüketicilere bunun için ödediklerinden daha fazla bilgi vermektir. Beklentileri aşmak için ödünsüz bir sürücüde, [SIC] müşterilerinin mümkün olan en iyi alışveriş deneyimini deneyimlemeye yardımcı olmayı taahhüt ediyoruz" dedi.
Geçtiğimiz yıl, şirket, Pudo (Kapalı veya Bırakma) A.Ş. ile ortak oldu.
BleepingComputer, analizimizin kötü amaçlı komut dosyasını içerdiği görülmediği ZendESK destek sitesi aracılığıyla konunun elemanını bildirmiştir.
Kullanıcılar mağaza üzerinde aktif olarak alışveriş yapabildiğinden, bu devam eden saldırı hakkındaki ayrıntıları paylaşmak ve müşterilerin finansal bilgilerini çaldığını engellemenin kamu yararına olduğuna inanıyoruz.
Henüz unsur vape'den geri dönmemize rağmen, kötü amaçlı kod, web sitelerinden, açıklandığı günden kaldırıldı.
Eleman Vape'nin hızlı tepkisi, çoğu durumda, kötü amaçlı komut dosyalarının virüslü sitelerden kaldırılması için haftalarca olmasa da, günler sürdüğü gibi sıradışıdır.
18 Şubat'ı Düzenle, 3:35 PM ET: Enfeksiyonun 5 Şubat'tan sonra bir süredir meydana geldiği görülmüş ve bugün hala aktif olduğu görülüyor. Eleman Vape, bugün daha önce görülen altı hatlı kötü amaçlı kodu kaldırmış gibi görünüyor. Ancak, daha fazla bilgi mevcut olana kadar, kullanıcılar temkinli olmaya devam etmelidir.
20 Şubat, 11:15 AM: Saldırının artık aktif olmadığını belirtmek için başlık ve son bölüm güncellendi ve aynı gün çözüldü.
Bahşiş için anonim bir okuyucu sayesinde.
Segway Mağazası, müşterilerin kredi kartlarını çalmak için saldırdı
Magecart'ın dalgası saldırıları yüzlerce eski magento sitesini hedefliyor
Pro Güreş Tees, Çalınan Kredi Kartları'ndan sonra veri ihlalini açıklar
Dijital kredi kartı skimmers için hedef açık kaynaklar tarayıcı
Hacker'lar, 100'den fazla siteden kredi kartlarını çalmak için video oynatıcıyı kullanır.
Kaynak: Bleeping Computer