Siber Muhbir

Web sıyırıcı, finansal ve ödeme bilgilerini çalmak amacıyla e-ticaret sitelerine enjekte edilen kötü amaçlı yazılımları ifade eder.

Sucuri'ye göre, en son kampanya, kredi kartı bilgilerini çalmak için WordPress için WooCommerce eklentisi ("form-checkout.php") ile ilişkili ödeme PHP dosyasında kötü amaçlı değişiklikler yapmayı gerektiriyor.

Güvenlik araştırmacısı Ben Martin, kötü amaçlı yazılımın Google Analytics ve Google Etiket Yöneticisi gibi görünme girişimine dikkat çekerek, "Son birkaç aydır, enjeksiyonlar uzun süredir gizlenmiş bir komut dosyasından daha az şüpheli görünecek şekilde değiştirildi" dedi.

Özellikle, kötü amaçlı kod parçasını bozuk bir dizeye kodlamak ve yükü barındırmak için kullanılan harici etki alanını gizlemek için Sezar şifresinde kullanılan aynı değiştirme mekanizmasını kullanır.

Tüm web sitelerinin, bir HTML stil sayfasını taklit etmek ve tespit edilmekten kaçınmak için "style.css" ve "css.php" adlarıyla anılan bir PHP betiğini sahnelemek için daha önce başka yollarla tehlikeye atıldığı varsayılmaktadır.

Bu betikler, sırayla, bir WebSocket oluşturan ve gerçek skimmer'ı getirmek için başka bir sunucuya bağlanan başka bir gizlenmiş JavaScript kodunu yüklemek için tasarlanmıştır.

Martin, "Komut dosyası, saldırganların virüslü her site için özelleştirilmiş yanıtlar göndermesine olanak tanıyan mevcut web sayfalarının URL'sini gönderiyor" dedi. "İkinci katman komut dosyasının bazı sürümleri, oturum açmış bir WordPress kullanıcısı tarafından yüklenip yüklenmediğini kontrol eder ve onlar için yanıtı değiştirir."

Komut dosyasının bazı versiyonlarında Rusça yazılmış, programcı tarafından okunabilir açıklamalar (diğer adıyla yorumlar) bulunur, bu da operasyonun arkasındaki tehdit aktörlerinin Rusça konuştuğunu düşündürür.

WooCommerce'deki form-checkout.php dosyası, skimmer'ı dağıtmak için kullanılan tek yöntem değildir, çünkü saldırganların meşru WPCode eklentisini web sitesi veritabanına enjekte etmek için kötüye kullandıkları da tespit edilmiştir.

Magento kullanan web sitelerinde, JavaScript enjeksiyonları core_config_data gibi veritabanı tablolarında gerçekleştirilir. OpenCart sitelerinde bunun nasıl gerçekleştirildiği şu anda bilinmiyor.

Web siteleri için bir temel olarak yaygın kullanımı nedeniyle, WordPress ve daha büyük eklenti ekosistemi, kötü niyetli aktörler için kazançlı bir hedef haline geldi ve geniş bir saldırı yüzeyine kolay erişim sağladı.

Site sahiplerinin CMS yazılımlarını ve eklentilerini güncel tutmaları, parola hijyeni sağlamaları ve şüpheli yönetici hesaplarının varlığı için bunları periyodik olarak denetlemeleri zorunludur.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.