Kredi kartı kaydırıcıları, müşteri ödeme ayrıntılarını çalarken tespit edilmekten gizlenen e-ticaret WordPress sitelerinin rastgele eklentilerine enjekte ediliyor.
Noel alışveriş sezonu tüm hızıyla devam ederken, kart çalma tehdidi aktörleri çevrimiçi mağazalara gizli sıyırıcılar bulaştırma çabalarını artırıyor, bu yüzden yöneticiler tetikte kalmalı.
En son trend, çoğu enjeksiyonun kısa ömürlü olduğu yakından izlenen ‘wp-admin’ ve ‘wp-includes’ çekirdek dizinlerinden kaçınarak WordPress eklenti dosyalarına kart sıyırıcıları enjekte etmektir.
Göz önünde saklanmak
Sucuri tarafından hazırlanan yeni bir rapora göre, kredi kartı hırsızlığı yapan bilgisayar korsanları ilk olarak WordPress sitelerine giriyor ve kalıcılık için web sitesine bir arka kapı enjekte ediyor.
Bu arka kapılar, yönetici WordPress ve yüklü eklentiler için en son güvenlik güncellemelerini yüklese bile, bilgisayar korsanlarının siteye erişimini sürdürmesine izin verir.
Saldırganlar gelecekte arka kapı kullandığında, yönetici kullanıcıların listesini tarar ve siteye erişmek için yetkilendirme tanımlama bilgilerini ve geçerli kullanıcı oturum açma bilgilerini kullanır.
Kaynak: Sucuri
Tehdit aktörleri daha sonra kötü amaçlı kodlarını rastgele eklentilere ekler ve Sucuri’ye göre, komut dosyalarının çoğu karartılmış bile değildir.
Kaynak: Sucuri
Ancak, kodu incelerken, analistler bir görüntü optimizasyonu eklentisinin WooCommerce’e referanslar içerdiğini ve tanımlanmamış değişkenler içerdiğini fark ettiler. Bu eklentinin herhangi bir güvenlik açığı yoktur ve tehdit aktörleri tarafından rastgele seçildiğine inanılmaktadır.
PHP kullanarak ‘get_defined_vars()‘, Sucuri bu tanımsız değişkenlerden birinin Almanya’daki bir Alibaba sunucusunda barındırılan bir etki alanına atıfta bulunduğunu öğrenebildi.
Bu alan adının, Kuzey Amerika’da iş yapan, araştırdıkları güvenliği ihlal edilmiş web sitesine hiçbir bağlantısı yoktu.
Aynı site, 404 sayfalık eklentiye ikinci bir enjeksiyon yaptı, bu da gerçek kredi kartı sıyırıcısını, gizlenmeyen koddaki gizli değişkenlerin aynı yaklaşımını kullanarak tuttu.
Bu durumda, bu ‘$thelist' ve ‘$message' değişkenleri kredi kartı skimming kötü amaçlı yazılım desteklemek için kullanılan, birincisi alıcı URL referans ve ikinci kullanarak kullanarak ‘file_get_contents()' ödeme ayrıntılarını almak için.
Kaynak: Sucuri
Kart sıyırıcılara karşı nasıl korunulur?
Yöneticiler, sitelerini sıyırıcısız tutmak veya enfeksiyon sürelerini mümkün olduğunca en aza indirmek için çeşitli koruyucu önlemleri takip edebilir.
İlk olarak, wp-admin alanı yalnızca belirli IP adresleriyle sınırlanmalıdır. Daha sonra, bir arka kapı enjekte edilmiş olsa bile, aktörler yönetici çerezlerini çalsalar bile siteye erişemezler.
İkinci olarak, etkin sunucu tarafı tarayıcılar aracılığıyla dosya bütünlüğü izleme web sitesinde uygulanmalı ve hiçbir kod değişikliği uzun süre fark edilmeden gitmemelidir.
Son olarak, günlükleri okumayı ve ayrıntılara derinlemesine bakmayı alışkanlık haline getirin. Örneğin, dosya değişiklikleri, temalar veya eklenti güncelleştirmeleri her zaman günlüklere yansıtılır.