Takas Dosyaları Aracılığıyla Sinsi Kredi Kartı Skimmer ile Hedeflenen Magento Siteleri
Tehdit aktörlerinin, kalıcı bir kredi kartı skimmer'ı gizlemek ve ödeme bilgilerini toplamak için güvenliği ihlal edilmiş web sitelerinde takas dosyaları kullandığı gözlemlendi.
Şirket, Sucuri tarafından bir Magento e-ticaret sitesinin ödeme sayfasında gözlemlenen sinsi tekniğin, kötü amaçlı yazılımın birden fazla temizleme girişiminden kurtulmasına izin verdiğini söyledi.
Skimmer, tüm verileri web sitesindeki kredi kartı formuna yakalamak ve ayrıntıları "amazon-analytic[.] com", Şubat 2024'te tescil edildi.
"Marka adının kullanımına dikkat edin; Güvenlik araştırmacısı Matt Morrow, alan adlarında popüler ürün ve hizmetlerden yararlanma taktiğinin genellikle kötü aktörler tarafından tespit edilmekten kaçınmak için kullanıldığını söyledi.
Bu, tehdit aktörü tarafından kullanılan birçok savunmadan kaçınma yönteminden yalnızca biridir ve orijinal dosyayı ("bootstrap.php") sağlam ve kötü amaçlı yazılımlardan uzak tutarken kötü amaçlı kodu yüklemek için takas dosyalarının ("bootstrap.php-swapme") kullanımını da içerir.
Morrow, "Dosyalar doğrudan SSH aracılığıyla düzenlendiğinde, düzenleyicinin çökmesi durumunda sunucu, tüm içeriğin kaybolmasını önleyen geçici bir 'takas' sürümü oluşturacaktır" dedi.
"Saldırganların, kötü amaçlı yazılımı sunucuda tutmak ve normal tespit yöntemlerinden kaçınmak için bir takas dosyasından yararlandıkları ortaya çıktı."
Bu durumda ilk erişimin nasıl elde edildiği şu anda net olmasa da, SSH veya başka bir terminal oturumunun kullanımını içerdiğinden şüpheleniliyor.
Açıklama, WordPress sitelerindeki güvenliği ihlal edilmiş yönetici kullanıcı hesaplarının, meşru Wordfence eklentisi gibi görünen kötü amaçlı bir eklenti yüklemek için kullanılmasıyla gelir, ancak her şeyin beklendiği gibi çalıştığına dair yanlış bir izlenim verirken sahte yönetici kullanıcılar oluşturma ve Wordfence'i devre dışı bırakma yetenekleriyle birlikte gelir.
Güvenlik araştırmacısı Ben Martin, "Kötü amaçlı eklentinin ilk etapta web sitesine yerleştirilmiş olması için, web sitesinin zaten tehlikeye atılmış olması gerekirdi - ancak bu kötü amaçlı yazılım kesinlikle bir yeniden enfeksiyon vektörü olarak hizmet edebilir" dedi.
"Kötü amaçlı kod yalnızca, URL'sinde 'Wordfence' kelimesini içeren WordPress yönetici arayüzü sayfalarında çalışır (Wordfence eklentisi yapılandırma sayfaları)."
Site sahiplerine FTP, sFTP ve SSH gibi yaygın protokollerin kullanımını güvenilir IP adresleriyle sınırlamaları ve içerik yönetim sistemlerinin ve eklentilerin güncel olduğundan emin olmaları önerilir.
Kullanıcıların ayrıca iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeleri, botları engellemek için bir güvenlik duvarı kullanmaları ve DISALLOW_FILE_EDIT ve DISALLOW_FILE_MODS gibi ek wp-config.php güvenlik uygulamalarını zorlamaları önerilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor