Web Skimmer Betiği Aracılığıyla Çevrimiçi Mağaza Müşterilerini Hedef Alan Yeni Bir Magecart Grubu Tespit Edildi

Malwarebytes güvenlik araştırmacıları tarafından tehdit analizi için kullanılan sanallaştırılmış ortamlarda algılama ve yürütmeden kaçınmak için bir tarayıcı komut dosyası kullanan yeni bir Magecart grubu keşfedilmiştir. Magecart çatısı altındaki tehdit grupları, web skimmer zararlı yazılımları aracılığıyla ödeme bilgilerini ele geçirmek için çevrimiçi mağazaları hedef almaktadır. (Referans Linki)

Zararlı yazılım geliştiricileri VMware veya Virtual Box’ın varlığını gösteren kayıt defteri anahtarlarını ve diğer bilgileri kontrol ederek anti-vm özellikleri uygulamaktadır. Ancak web tehditleri için tarayıcı aracılığıyla sanallaştırılmış ortamların algılanması nadiren gözlemlenen bir senaryodur.Bu bağlamda Malwarebytes araştırmacıları tarafından tehdit aktörlerinin, kullanıcı makinesinden hassas verileri ele geçirmek ve algılanmaktan kaçınmak için bir web skimmer betiği eklediği tespit edilmiştir. Bir web skimmer, genellikle skimming gerçekleştirmek için web ödeme sayfalarına yerleştirilmiş bir zararlı JavaScript (JS) kodu parçasıdır. Tehdit aktörleri tarafından eklenen söz skimmer betiğinde, kullanıcının makinesi hakkında bilgi toplamak ve algılanmaktan kaçınmak için iWebGL JavaScript API’sini kullanan bir işlev bulunmaktadır. Bu işlevin sistemde swiftshader, llvmpipe ve virtualbox kelimelerinin varlığını kontrol ettiği gözlemlenmiştir. Bu bağlamda tehdit aktörleri tarayıcı içi kontrolü gerçekleştirerek, sanal ortamları hariç tutabilir ve yalnızca gerçek kurbanların web skimmer tarafından hedef alınmasına izin verebilmektedir.

Kod karmaşıklaştırma, debugger önleme ve sanal makine tespiti gibi teknikler kullanılarak gerçekleştirilebilecek saldırıların tespit edilmesi ve bunlara karşı koruma sağlanması için etkili karşı önlemler alınması gerekmektedir. Bu bağlamda müşterilerin gelişmiş güvenlik düzeyine sahip olmayan çevrimiçi mağazalardan alışveriş yapmamaları ve paylaşılan IoC bulgularını kullanılan güvenlik cihazlarından engellemeleri tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!