BleepingComputer, E-sigara ve vaping kitlerinin önde gelen çevrimiçi bir çevrimiçi satıcısı olan Element Vape'yi teyit etti.
ABD ve Kanada'da varlığı ile, Element Vape, hem perakende satış noktalarında hem de çevrimiçi mağazalarda e-sigarayı, vaping cihazları, e-sıvıları ve CBD ürünlerini satıyor.
Eleman Vape'nin web sitesi, BleepingComputer tarafından görüldüğü gibi bir kredi kartı çayıcısı içerdiği görülen üçüncü taraf bir web sitesinden kötü amaçlı bir javascript dosyası yükleniyor.
Bu tür kredi kartı istihdam eden tehdit aktörleri, komut dosyalarını enjekte ederek e-ticaret mağazalarında çerezler, MAGECART olarak adlandırılır.
Mağazanın birden fazla web sayfası, ana sayfadan başlayarak, aşağıda gösterilen HTML kaynak kodunun 45-50 satırlarında görülebilen belirsiz bir Base64 kodlu komut dosyasını içerir:
ElementVape.com'da kötü amaçlı komut dosyasının ne kadar sürdüğü için tam olarak bilinmiyor.
Wayback Machine'deki ElementVape.com analizimiz, 5 Şubat 2022 ve daha önce kötü amaçlı kodun yoktu. Bu nedenle, enfeksiyon, bugünden sonra bir süre sonra ortaya çıkan ve bugün aktif olduğu görülüyor.
Kodu çözüldüğünde, bu altı çizgi, üçüncü taraf bir sitede barındırılan aşağıdaki JavaScript dosyasında çeker:
Ağır şaşkın kötü amaçlı yükleme yükü bu frontend.js dosyasında sonuna doğru devam eder:
Yukarıdaki komut dosyası, BleepingComputer tarafından kodu çözülüp analiz edildiğinde, müşterilerin ödeme kartını ve ödeme bilgisini ödeme hakkında tahsil ederken görüldü.
Komut dosyasının aradığı alanlardan bazıları şunlardır: e-posta adresi, ödeme kartı numarası / son kullanma tarihi, telefon numarası, sokak ve posta kodu dahil fatura adresi.
Bu bilgi daha sonra saldırgana, komut dosyasında bulunan şaşkın, hardcoded bir telgraf adresi aracılığıyla etkilenir:
Ayrıca, komut dosyası, bir Sandbox ortamında veya "devtools" nin analizi caydırmak için "devtools" olarak çalıştırılmadığını kontrol eden anti-teri-mühendislik özellikleri içerir.
ElementVape.com'un, kötü amaçlı betiğinde gizlice girmek için ilk başta nasıl değiştirildi.
Ve bu, ilk defa Element Vape de tehlikeye girmedi.
2018 yılında Element Vape müşterileri, bir veri ihlalinin meydana geldiğini ve "6, 2017 ve 27 Haziran 2018 tarihleri arasında izin verme penceresi", müşterilerin kişisel bilgilerini tehdit aktörlerine potansiyel olarak maruz bıraktığını belirten mektuplar aldığını bildirdi. Eleman Vape, iddiaları Şirket'in Reddit hesabı olarak göründüğü ile onayladı.
Bu etkinliğin ardından, Illinois merkezli tüketici Artur Tyksinski, vaping perakendecinin "Veri İhlali'nin etkilenen bireylerini zamanında bildirmedi" iddiasını kabul ettiğini iddia etti ve müşterilerin gizli bilgilerine yetkisiz erişimi engellemek için yeterli prosedüre sahip değildi. Bunu 2019'da bir sınıf eylem davası izledi, jüri tarafından yargılanıyordu.
Sözde "Dünyanın en büyük çevrimiçi vape perakendecilerinden biri", perakende mağazalarında ve çevrimiçi olarak e-sigaraların "en büyük çevrimiçi vape perakendecilerinden biri" olmasına rağmen, çok fazla değil, Element Vape hakkında kolayca bilinmektedir.
Bazı eyaletlerde THESY LLC olarak bilinen Element Vape'nin Twitter hesabı 13.000'den fazla kullanıcının izlenmesini gösterir.
Ancak, garip bir şekilde, tweetler korunur, perakendeciyle etkileşime girmeyi zorlaştırır.
Şirket, web sitesine göre California merkezlidir ve 2013'ten bu yana faaliyette bulunmaktadır.
"Kişisel felsefemiz, tüketicilere bunun için ödediklerinden daha fazla bilgi vermektir. Beklentileri aşmak için ödünsüz bir sürücüde, [SIC] müşterilerinin mümkün olan en iyi alışveriş deneyimini deneyimlemeye yardımcı olmayı taahhüt ediyoruz" dedi.
Geçtiğimiz yıl, şirket, Pudo (Kapalı veya Bırakma) A.Ş. ile ortak oldu.
BleepingComputer, analizimizin kötü amaçlı komut dosyasını içerdiği görülmediği ZendESK destek sitesi aracılığıyla konunun elemanını bildirmiştir.
Kullanıcılar mağaza üzerinde aktif olarak alışveriş yapabildiğinden, bu devam eden saldırı hakkındaki ayrıntıları paylaşmak ve müşterilerin finansal bilgilerini çaldığını engellemenin kamu yararına olduğuna inanıyoruz.
Son zamanlarda web sitesinde herhangi bir alışveriş yaptıysanız, herhangi bir şüpheli faaliyet için kredi kartı işlemlerinizi kontrol ettiğinizden emin olun.
Düzenle 3:35 PM ET: Açıklığa kavuşturuldu Enfeksiyonun 5 Şubat'tan sonra bir süre meydana geldiği görülüyor ve bugün hala aktifti. Eleman Vape, bugün daha önce görülen altı hatlı kötü amaçlı kodu kaldırmış gibi görünüyor. Ancak, daha fazla bilgi mevcut olana kadar, kullanıcılar temkinli olmaya devam etmelidir.
Bahşiş için anonim bir okuyucu sayesinde.
Segway Mağazası, müşterilerin kredi kartlarını çalmak için saldırdı
Magecart'ın dalgası saldırıları yüzlerce eski magento sitesini hedefliyor
Pro Güreş Tees, Çalınan Kredi Kartları'ndan sonra veri ihlalini açıklar
Dijital kredi kartı skimmers için hedef açık kaynaklar tarayıcı
Hacker'lar, 100'den fazla siteden kredi kartlarını çalmak için video oynatıcıyı kullanır.
Kaynak: Bleeping Computer