Web Bilgilerini Çalma Saldırı Kampanyası
Siber güvenlik araştırmacıları, Ocak 2022'den beri aktif olan büyük ölçekli bir web dolandırıcılığı (web skimming) operasyonunu ortaya çıkardı. Operasyon, American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard ve UnionPay gibi büyük ödeme ağlarına bağımlı kurumsal kuruluşları hedef alıyor. Bu ödeme hizmetlerini çevrimiçi ödeme sistemlerine entegre eden şirketlerin en yüksek risk altında olduğu değerlendiriliyor.
İçindekiler
Dijital Para Çalma ve Magecart’ın Evrimi
Dijital kart bilgilerini çalma saldırıları, tehdit aktörlerinin meşru e-ticaret sitelerine ve ödeme portallarına kötü amaçlı JavaScript kodu enjekte ettiği bir istemci tarafı güvenlik açığı türüdür. Enjekte edilen kod, müşteriler ödeme bilgilerini girerken sessizce kredi kartı verilerini ve kişisel bilgileri toplar.
Bu faaliyet, genellikle Magecart olarak bilinen daha geniş kategoriye giriyor. Bu terim başlangıçta Magento tabanlı e-ticaret sitelerine odaklanan siber suçlu gruplarının gevşek bir koleksiyonunu tanımlıyordu, ancak o zamandan beri birçok platform ve teknolojideki veri hırsızlığı operasyonlarını kapsayacak şekilde genişledi.
Yaptırımlardan Kaçınmayla Bağlantılı Altyapı
Söz konusu kampanya, yaptırım uygulanan kurşun geçirmez hosting sağlayıcısı Stark Industries ile ilişkili şüpheli bir alan adıyla ilgili soruşturma sırasında tespit edildi. Ana şirketi PQ.Hosting, daha sonra hizmeti THE.Hosting olarak yeniden markalaştırdı ve bu hizmet şu anda Hollandalı WorkTitans BV kuruluşu tarafından işletiliyor; bunun yaptırımlardan kaçınmak için bir yol olduğu bildiriliyor.
cdn-cookie(dot)com alan adında 'recorder.js' ve 'tab-gtm.js' gibi ağır şekilde gizlenmiş JavaScript dosyaları bulunduğu tespit edildi. Bu komut dosyaları, ele geçirilmiş çevrimiçi mağazalara yerleştirilerek gizli kredi kartı bilgilerinin çalınmasına olanak sağladı.
Kendini İmha ve Çevre Bilinci Yoluyla Gizlilik
Bu zararlı yazılım, site yöneticileri tarafından tespit edilmekten aktif olarak kaçınmak üzere tasarlanmıştır. WordPress yöneticileri veya yetkili kullanıcılar oturum açtığında görünen bir araç çubuğu öğesi olan 'wpadminbar'ın varlığını belge nesne modeli (DOM) üzerinde inceler. Bu öğe tespit edilirse, zararlı yazılım hemen kendi kendini silme işlemini başlatarak sayfadan kendini siler.
Normal tarama sırasında sürekliliği sağlamak için, skimmer, modern web sitelerinde kullanıcı etkileşimi sırasında sıkça karşılaşılan bir durum olan sayfanın DOM'u her değiştiğinde yürütme girişiminde bulunur.
Arayüz Manipülasyonu ile Stripe’ı Silahlandırmak
Kötü amaçlı kod, Stripe tabanlı ödeme akışlarını istismar etmek için tasarlanmış özel bir mantık içerir. Stripe seçildiğinde, veri hırsızlığı yapan yazılım 'wc_cart_hash' adlı bir localStorage girdisini kontrol eder. Değer mevcut değilse, anahtarı oluşturur ve veri toplamaya hazırlanır.
Bu aşamada, kötü amaçlı yazılım, meşru Stripe ödeme formunu dinamik olarak sahte bir formla değiştirir. Arayüzdeki ince manipülasyonlar sayesinde, kurbanlar kart numaralarını, son kullanma tarihlerini ve CVC kodlarını sahte forma girmeye kandırılırlar.
Gönderimden sonra sayfa bir hata mesajı döndürüyor ve bu da ödemenin kötü niyetli müdahaleden değil, yanlış bilgilerden dolayı başarısız olduğu izlenimini yaratıyor.
Veri Hırsızlığı, Sızdırma ve Temizleme
Çalınan bilgiler ödeme kartı bilgilerinin ötesine geçerek tam adları, telefon numaralarını, e-posta adreslerini ve gönderim adreslerini de içeriyor. Veri kopyalama yazılımı bu verileri bir HTTP POST isteğiyle lasorie(dot)com adresine iletiyor.
Veri sızdırma işlemi tamamlandıktan sonra, kötü amaçlı yazılım sahte formu kaldırır, meşru Stripe arayüzünü geri yükler ve ödeme sayfasındaki faaliyet izlerini siler. Ardından 'wc_cart_hash' değerini 'true' olarak ayarlayarak, aynı kurban için tekrar çalışmasını engeller.
Derin Platform Bilgisine Dayalı Bir Saldırı Zinciri
Araştırmacılar, tehdit aktörünün WordPress'in iç işleyişine dair ileri düzeyde bir anlayış sergilediğini ve saldırı akışının bir parçası olarak daha az bilinen platform özelliklerinden bile yararlandığını belirtiyor. Bu bilgi derinliği, gelişmiş kaçınma ve arayüz manipülasyon teknikleriyle birleştiğinde, operasyonun olgunluğunu ve sürekliliğini vurguluyor.
