Yüzlerce e-ticaret sitesi, ödeme kartlarını gözden geçiren kötü amaçlı yazılımlarla bubi tuzağına düştü. Magecart bilgisayar korsanları, tekrar saldırılarıyla gündeme geldi.
Olay yakın bir zamanda yaklaşık 500 e-ticaret web sitesinin, kullanıcılar bir satın alma işlemi yapmaya çalıştığında gerçekleşti. Kullanıcıların işlem sırasında hassas verileri gizlice çalan bir kredi kartı skimmer takan bilgisayar korsanları tarafından ele geçirildiği tespit edildi.
Salı günü yayınlanan bir rapor, e-ticaret sitelerine skimmers bulaştıran rakip suç gruplarına verilen bir terim olan Magecart hakkındaki son bilgileri içeriyor. Son birkaç yılda binlerce site, kötü amaçlı kod çalıştırmalarına neden olan açıklardan yararlandı. Ziyaretçiler satın alma sırasında ödeme kartı bilgilerini girdiğinde, kod bu bilgileri saldırgan kontrollü sunuculara gönderiyor.
En son virüs grubunu keşfeden güvenlik firması Sansec, güvenliği ihlal edilen sitelerin tümünün naturalfreshmall[.]com etki alanında barındırılan kötü amaçlı komut dosyaları yüklediğini belirtti.
Sahte Bir Ödeme Penceresi ile Kullanıcı Bilgileri Çalınıyor
Firma araştırmacıları Twitter üzerinden yaptıkları bir açıklama ile “Natural Fresh skimmer, (PCI uyumlu) barındırılan bir ödeme formunun güvenliğini yenen sahte bir ödeme açılır penceresi gösteriyor.” dedi.
Bilgisayar korsanları daha sonra mevcut dosyaları değiştirdi. Bir başka ihtimal ise kötü amaçlı komut dosyasının algılanması ve kaldırılması ve güvenlik açığı bulunan yazılımın güncellenmesi ile ilgili. Böyle bir durumda bilgisayar korsanlarının sitelerin kontrolünü elinde tutmak için kullanabilecekleri en az 19 arka kapı sağlayan yeni dosyalar yerleştirdiği düşünülüyor. Siteyi tamamen arındırabilmenin tek yolunun, sitenin saldırıya uğramasına izin veren savunmasız CMS’yi güncellemeden önce arka kapıları belirlemek ve kaldırmak olduğu söylendi.
Sansec, saldırganlar tarafından kullanılan ortak giriş noktasını belirlemek için saldırıya uğramış sitelerin yöneticileriyle iş birliği yaptı. Araştırmacılar sonunda, saldırganların Quickview olarak bilinen bir Magento eklentisinde SQL ile PHP nesne enjeksiyon saldırısını birleştirdiğini belirledi. İstismarlar, saldırganların doğrudan web sunucusunda kötü amaçlı kod yürütmesine izin veriyordu.
Bu kod yürütmeyi, Quickview’i kötüye kullanarak ve ana bilgisayar uygulamasını kötü niyetli bir nesne oluşturması için kandırdılar. Ardından belirledikleri e-ticaret sitelerine yeni bir kullanıcı olarak kaydoldular.
Saldırıya Uğrayan Siteler Magento 1’i Kullanıyordu
Sansec araştırmacıları, “Ancak, yalnızca veri tabanına eklemek kodu çalıştırmaz. Magento’nun aslında verileri seri hale getirmesi gerekiyor. Ve bu saldırının akıllıca bir yanı var: Saldırgan, yeni müşteriler için doğrulama kurallarını kullanarak, yalnızca Magento kayıt sayfasına göz atarak bir serileştirmeyi tetikleyebilir.” ifadelerini kullandı.
Saldırıya uğrayan siteler, e-ticaret platformunun Haziran 2020’de kullanımdan kaldırılan bir sürümü olan Magento 1’i kullanmaktaydı. Kullanımdan kaldırılan bu paketi kullanmaya devam eden herhangi bir site için daha güvenli bahis, Adobe Commerce’in en son sürümüne yükseltmektir. Diğer bir seçenek de OpenMage projesindeki DIY yazılımını ya da Mage-One’ın ticari desteğini kullanarak Magento 1 için mevcut olan kaynaklardan yararlanmaktır.
İnsanların özel eğitim almadan ödeme kartı sıyırıcılarını tespit etmesi genellikle zordur. Bir seçenek; ziyaret edilen bir web sitesinde sunulan JavaScript’i gerçek zamanlı olarak inceleyen Malwarebytes gibi bir virüsten koruma yazılımı kullanmaktır. Bunun dışında, sitenin güvenli olduğunun pek garantisi olmasa da güncel olmayan yazılımlar kullanıyor gibi görünen sitelerden uzak durmak gerekebilir.