Rogue WordPress Eklentisi, E-Ticaret Sitelerini Kredi Kartı Hırsızlığına Maruz Bırakıyor
Tehdit avcıları, sahte yönetici kullanıcılar oluşturabilen ve kredi kartı bilgilerini çalmak için kötü amaçlı JavaScript kodu enjekte edebilen sahte bir WordPress eklentisi keşfetti.
Sucuri'ye göre, gözden geçirme etkinliği, e-ticaret web sitelerini hedefleyen bir Magecart kampanyasının parçası.
Güvenlik araştırmacısı Ben Martin, "Diğer birçok kötü amaçlı veya sahte WordPress eklentisinde olduğu gibi, dosyanın üst kısmında bir meşruiyet kaplaması vermek için bazı aldatıcı bilgiler içeriyor" dedi. "Bu durumda, yorumlar kodun 'WordPress Önbellek Eklentileri' olduğunu iddia ediyor."
Kötü amaçlı eklentiler genellikle güvenliği ihlal edilmiş bir yönetici kullanıcı veya sitede zaten yüklü olan başka bir eklentideki güvenlik açıklarından yararlanma yoluyla WordPress sitelerine giden yolu bulur.
Kurulumdan sonra, eklenti kendisini mu-plugins (veya kullanılması gereken eklentiler) dizinine kopyalar, böylece otomatik olarak etkinleştirilir ve varlığını yönetici panelinden gizler.
Martin, "Mu eklentilerinden herhangi birini kaldırmanın tek yolu, dosyayı manuel olarak kaldırmak olduğundan, kötü amaçlı yazılım bunu önlemek için elinden geleni yapıyor" dedi. "Kötü amaçlı yazılım bunu, bunun gibi eklentilerin normalde kullandığı kancalar için geri arama işlevlerinin kaydını silerek gerçekleştirir."
Dolandırıcılık ayrıca, kırmızı bayrakları yükseltmekten kaçınmak ve hedefe uzun süre sürekli erişime sahip olmak için meşru web sitesi yöneticisinden bir yönetici kullanıcı hesabı oluşturma ve gizleme seçeneğiyle birlikte gelir.
Kampanyanın nihai amacı, ödeme sayfalarına kredi kartı çalan kötü amaçlı yazılım enjekte etmek ve bilgileri aktör tarafından kontrol edilen bir alana sızdırmaktır.
Martin, "Birçok WordPress enfeksiyonu, güvenliği ihlal edilmiş wp-admin yönetici kullanıcılarından meydana geldiğinden, yalnızca sahip oldukları erişim seviyelerinin kısıtlamaları dahilinde çalışmaları gerektiğinin ve eklentilerin yüklenmesinin kesinlikle WordPress yöneticilerinin sahip olduğu temel yeteneklerden biri olduğu anlamına gelir" dedi.
Açıklama, WordPress güvenlik topluluğunun, kullanıcıları ilgisiz bir güvenlik açığı konusunda uyaran ve onları bir yama kisvesi altında bir eklenti yüklemeleri için kandıran bir kimlik avı kampanyası konusunda uyarmasından haftalar sonra geldi. Eklenti, kendi adına, bir yönetici kullanıcı oluşturur ve kalıcı uzaktan erişim için bir web kabuğu dağıtır.
Sucuri, kampanyanın arkasındaki tehdit aktörlerinin, bir CVE Numaralandırma Yetkilisi (CNA) veya güvenlik araştırmacısı tarafından kullanılmak üzere ayrıldığında gerçekleşen bir CVE tanımlayıcısıyla ilişkili "AYRILMIŞ" durumundan yararlandığını, ancak ayrıntıların henüz doldurulmadığını söyledi.
Ayrıca, web sitesi güvenlik firmasının, skimmer kodunu çevrimiçi vitrinlere eklemek için WebSocket iletişim protokolünü kullanan başka bir Magecart kampanyası keşfetmesiyle birlikte gelir. Kötü amaçlı yazılım daha sonra, meşru ödeme düğmesinin üzerine yerleştirilmiş sahte bir "Siparişi Tamamla" düğmesine tıklandığında tetiklenir.
Europol'ün bu hafta yayınlanan çevrimiçi dolandırıcılıkla ilgili spotlight raporu, dijital kaymayı kredi kartı verilerinin çalınması, yeniden satılması ve kötüye kullanılmasıyla sonuçlanan kalıcı bir tehdit olarak tanımladı. "Dijital gözden geçirmedeki büyük bir gelişme, ön uç kötü amaçlı yazılımların kullanımından arka uç kötü amaçlı yazılımlara geçiştir ve bu da tespit edilmesini zorlaştırır" dedi.
AB kolluk kuvvetleri, 443 çevrimiçi satıcıya, müşterilerinin kredi kartı veya ödeme kartı verilerinin gözden geçirme saldırıları yoluyla ele geçirildiğini bildirdiğini söyledi.
Digital Skimming Action kod adlı sınır ötesi siber suçla mücadele operasyonunda Europol ile de ortaklık kuran Group-IB, Avrupa ve Amerika'daki 17 farklı ülkedeki şirketlere karşı kullanılan ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter ve R3nin dahil olmak üzere 23 JS koklayıcı ailesini tespit ettiğini ve tanımladığını söyledi.
Singapur merkezli firma, "Toplamda, 2023'ün sonu itibariyle 132 JS-sniffer ailesinin dünya çapında web sitelerini tehlikeye attığı biliniyor" diye ekledi.
Hepsi bu değil. Kripto para platformları için Google Arama ve Twitter'daki sahte reklamların, Mart 2023'ten bu yana 10.072 kimlik avı web sitesinden oluşan bir ağ aracılığıyla 63.210 kurbandan 58,98 milyon dolar yağmaladığı tahmin edilen MS Drainer adlı bir kripto para birimi süzgecinin tanıtımını yaptığı tespit edildi.
ScamSniffer, "Google arama terimleri ve aşağıdaki X tabanı aracılığıyla belirli kitleleri hedefleyerek, belirli hedefleri seçebilir ve çok düşük bir maliyetle sürekli kimlik avı kampanyaları başlatabilirler" dedi.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi