Yeni Magecart Kampanyası, Alışveriş Yapanların Kredi Kartlarını Çalmak için 404 Hata Sayfasını Değiştiriyor
Saldırıların en son evrimi olarak tanımlanan kötü amaçlı kodu gizlemek için web sitelerinin varsayılan 404 hata sayfasını manipüle eden karmaşık bir Magecart kampanyası gözlemlendi.
Saldırıların en son evrimi olarak tanımlanan kötü amaçlı kodu gizlemek için web sitelerinin varsayılan 404 hata sayfasını manipüle eden karmaşık bir Magecart kampanyası gözlemlendi.
Akamai'ye göre etkinlik, Magento ve WooCommerce web sitelerini hedef alıyor ve kurbanların bir kısmı gıda ve perakende sektörlerindeki büyük kuruluşlara ait.
Akamai güvenlik araştırmacısı Roman Lvovsky, Pazartesi günü yaptığı bir analizde, "Bu kampanyada, tespit ettiğimiz tüm kurban web siteleri, kötü amaçlı kod parçacığı birinci taraf kaynaklarından birine enjekte edildiğinden, doğrudan istismar edildi" dedi.
Bu, kodun doğrudan HTML sayfalarına veya web sitesinin bir parçası olarak yüklenen birinci taraf komut dosyalarından birine eklenmesini içerir.
Saldırılar, yükleyici kodunun, ziyaretçiler tarafından ödeme sayfalarına girilen hassas bilgileri yakalamak ve uzak bir sunucuya sızdırmak için çalışma zamanı sırasında ana yükü aldığı çok aşamalı bir zincir aracılığıyla gerçekleştirilir.
Lvovsky, "Saldırıyı üç parçaya ayırmanın amacı, saldırıyı tespit etmeyi zorlaştıracak şekilde gizlemektir" dedi. "Bu, saldırıyı daha gizli hale getiriyor ve hedeflenen web sitesinde bulunabilecek güvenlik hizmetleri ve harici tarama araçları tarafından tespit edilmesini zorlaştırıyor."
"Bu, saldırının tam akışının yalnızca özel olarak hedeflenen sayfalarda etkinleştirilmesine izin veriyor; yani, saldırgan tarafından kullanılan şaşırtma önlemleri nedeniyle, tam saldırı akışının etkinleştirilmesi yalnızca saldırganın yürütmesini amaçladığı yerde gerçekleşebilir."
404 hata sayfasının kullanımı, kampanyanın üç varyasyonundan biridir ve diğer ikisi, hatalı biçimlendirilmiş bir HTML resim etiketinin onerror özelliğinde ve Meta Piksel kod snippet'i gibi görünen bir satır içi komut dosyası olarak skimmer kodunu gizler.
Sahte Meta Pixel kodu, kendi adına, web sitesinin kendi dizininden bir PNG görüntüsü getirir ve görüntü ikili dosyasının sonuna eklenen Base64 kodlu bir dize içerir ve bu, kodu çözüldüğünde, ikinci aşama yükünü almak için aktör tarafından kontrol edilen bir etki alanına ulaşan bir JavaScript kodu parçasını temsil eder.
Lvovsky, "Bu kod, kullanıcının hassas kişisel ve kredi kartı verilerini okumak ve skimmer'ın C2 sunucusuna geri iletmek amacıyla hedeflenen hassas sayfada çeşitli kötü amaçlı faaliyetler yürütmekten sorumludur" dedi.
Bu tekniklerin her ikisi de statik analiz ve harici tarama gibi güvenlik önlemlerini atlatmak ve saldırı zincirinin ömrünü etkili bir şekilde uzatmak için tasarlanmıştır.
Bununla birlikte, hedeflenen web sitesindeki varsayılan hata sayfasından yararlanarak olağandışı gizleme tekniğiyle öne çıkan üçüncü yükleyici çeşididir. Satır içi komut dosyası veya sahte bir Meta Pixel kodu olarak görünen bu kod, web sitesinde var olmayan bir URL'ye bir GET isteği göndererek "404 Bulunamadı" yanıtını tetikler.
Bu yanıt, içindeki skimmer kodunu gizleyen değiştirilmiş bir hata sayfasına işaret eder. Skimmer, Base64 kodlu bir dize biçiminde sonraki sızıntı için verileri yakalamak için ödeme sayfalarına benzer bir ödeme formu yerleştirerek çalışır.
Lvovsky, "Hedeflenen bir web sitesinin varsayılan 404 hata sayfasını manipüle etme fikri, Magecart aktörlerine daha iyi saklanma ve kaçınma için çeşitli yaratıcı seçenekler sunabilir" dedi.
"404 sayfasına giden birinci taraf yoluna yapılan istek, İçerik Güvenliği Politikası başlıklarını ve sayfadaki ağ isteklerini aktif olarak analiz edebilecek diğer güvenlik önlemlerini atlayabilen başka bir kaçınma tekniğidir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı