Microsoft'un güvenlik araştırmacıları, tehdit aktörlerinin kötü niyetli bilgi işlem kodlarını gizlemek için daha gelişmiş teknikler kullandığı kredi kartı sıyırma işleminde endişe verici bir eğilim gözlemlediler.
Skimming çeteleri kod snippet'lerini gizler, görüntü dosyalarına enjekte eder ve algılamadan kaçınmak için popüler web uygulamaları olarak maskelenir.
Bu, tehdit algılama ürünlerinin etkinliğini zayıflatır ve İnternet kullanıcılarının kredi kartı bilgilerini kötü amaçlı aktörler tarafından çalınma olasılığını artırır.
Ödeme Kartı Skimming, bilgisayar korsanlarının temel platformda (Magento, Prestashop, WordPress, vb.) Veya kötü güvenlik uygulamalarında bir güvenlik açığından yararlanarak e-ticaret web sitelerine kötü niyetli JavaScript kodu enjekte ettikleri web tabanlı bir saldırıdır.
Kod, site ziyaretçisi ödeme sayfasına ulaştığında ve yerleştirilen sipariş için ödeme yapmak için kredi veya banka kartı ayrıntılarını girmeye devam ettiğinde etkinleştirilir.
Bu sayfanın formlarına yazılan her şey sıyırıcı tarafından çalınır ve daha sonra bu ayrıntıları çevrimiçi satın alımlar yapmak veya verileri başkalarına satmak için kullanan kötü amaçlı operatörlere gönderilir.
Microsoft'un analistleri, üç saklama yönteminin istihdamında bir artış gördüğünü bildiriyor: komut dosyalarının görüntülerde enjekte edilmesi, dize birleştirme ve komut dosyası taklit etme.
İlk durumda, kötü amaçlı görüntü dosyaları favicon olarak gizlenen hedef sunucuya yüklenir. Bununla birlikte, içerikleri, baz64 kodlu JavaScript'e sahip bir PHP komut dosyası içerir.
Microsoft'un yeni araştırmalarını açıklıyor. "
"... Saldırganın bir PHP kullandığına inanıyoruz ve web sitesinin dizin sayfasına görüntüyü (PHP kodunu içeren) eklemek için ekspresyonu içeriyor, böylece her web sayfası ziyaretine otomatik olarak yüklenecek."
Komut dosyası, ödeme sayfasını tanımlamak için çalışır, yönetici kullanıcısını hariç tutmak için bir kontrol çalıştırır ve ardından meşru site ziyaretçilerine sahte bir form sunar.
Dize birleştirme gizlemesi kullanarak, saldırganlar sıyırıcıyı hedef sitede bir implant kullanarak kontrolleri altındaki bir alandan yükler.
Etki alanı baz64 kodlu ve birkaç dizeden birleştirilirken, Skimmer'ın kendisinin hedeflenen platformda barındırılmadığı için gizlenmesine gerek yoktur.
Üçüncüsü, komut dosyası taklit etme, trend skimmer'leri Google Analytics veya Meta Pixel (Facebook Pixel) olarak maskelendiriyor, hemen hemen her sitede bulunan yaygın olarak kullanılan iki ziyaretçi izleme aracı.
Tehdit aktörleri, sahtekarlık bir Google Etiket Yöneticisi kodunun içine baz64 kodlu dizeleri enjekte ederek, yöneticileri incelemeye kandırarak, web sitesinin standart kodunun bir parçası olduğunu düşünür.
Meta piksel durumunda, tehdit aktörleri gerçek eklentinin bazı ortak parametrelerini taklit ederken, aynı zamanda sıyırıcı URL'sini Base64'te kodladı ve birden fazla dizeye bölünür.
Microsoft'un analizi, bu komut dosyalarının sadece kart sıyırıcılarını yüklemediğini, aynı zamanda anti-kötü niyetli mekanizmalara sahip olduğunu, ancak bu işlev hakkında daha fazla ayrıntı için bunları gereken seviyeye taşıyamadığını ortaya koydu.
Tüm ödeme kartı skimmer'leri arasında ortak özellikler arasında Base64 kodlu dizelerin varlığı ve tehlikeye atılan web sayfalarında "atoB ()" JavaScript işlevi bulunur.
Aktif tarama ve algılama dışında, web sitesi yöneticileri içerik yönetim sistemlerinin (CMS) ve eklentilerinin en son kullanılabilir sürümünü çalıştırdıklarından emin olmalıdır.
Müşterilerin bakış açısından, sıyırıcıların hasarını en aza indirmek, yalnızca bir kerelik özel kartlar kullanarak, katı ödeme sınırları ayarlanarak veya bunun yerine elektronik ödeme yöntemleri kullanılarak mümkündür.
Karamel kredi kartı çalma hizmeti popülerlik kazanıyor
Bu eğitim paketi anlaşmasıyla javascript bilginizi geliştirin
Ukrayna, tehlikeye atılan WordPress sitelerinden DDOS saldırılarının hedeflediği
Hacked WordPress siteleri ziyaretçileri DDOS Ukrayna Hedeflerine Zorla
Hive Ransomware, yükü gizlemek için yeni 'ipfuscation' hilesi kullanıyor
Kaynak: Bleeping Computer