Ödeme Verileri Çalan Kötü Amaçlı Yazılımlar Nginx'te Gizleniyor
ABD, Almanya ve Fransa'daki e-ticaret platformları, varlığını gizlemek ve güvenlik çözümlerinin algılamayı geride bırakmak amacıyla Nginx sunucularını hedefleyen yeni bir kötü amaçlı yazılım biçiminden saldırıya uğradı.Sansec Tehdit Araştırma ekibi yeni bir raporda, "Bu yeni kod kendisini bir ana Nginx uygulamasına enjekte ediyor ve neredeyse görünmez" dedi. "Parazit, 'sunucu tarafı Magecart' olarak da bilinen e-ticaret sunucularından veri çalmak için kullanılıyor."
Ücretsiz ve açık kaynaklı bir yazılım olan Nginx, ters proxy, yük dengeleyici, posta proxy'si ve HTTP önbelleği olarak da kullanılabilen bir web sunucusudur. Gelişmiş kötü amaçlı yazılım olarak adlandırılan NginRAT, kendisini web sunucusuna yerleştirmek için bir ana bilgisayar Nginx uygulamasını ele geçirerek çalışır.
Uzaktan erişim truva atının kendisi, Hollandalı siber güvenlik firmasının geçen hafta, var olmayan bir takvim günü olan 31 Şubat'ta yürütülmesi planlanan cron işlerinde kötü niyetli yüklerini gizlediğini açıkladığı bir başka kötü amaçlı yazılım parçası olan CronRAT aracılığıyla teslim ediliyor.
Hem CronRAT hem de NginRAT, güvenliği ihlal edilmiş sunuculara uzaktan bir yol sağlamak için tasarlanmıştır ve izinsiz girişlerin amacı, güvenliği ihlal edilmiş e-ticaret web sitelerinde, rakiplerin çevrimiçi ödemeyi gözden kaçırarak verileri sızdırmalarını sağlayacak şekilde sunucu tarafında değişiklikler yapmaktır.
Topluca Magecart veya web kayması olarak bilinen saldırılar, çevrimiçi bir portalın kaynak koduna erişmek ve kötü amaçlı JavaScript kodu eklemek için yazılım açıklarından yararlanarak dijital kredi kartı hırsızlığına karışan düzinelerce alt gruptan oluşan bir siber suç sendikasının işidir. alışveriş yapanların ödeme sayfalarına girdiği verileri sifonlar. Zscaler araştırmacıları, bu yılın başlarında yayınlanan en son Magecart trendlerinin bir analizinde,
"Skimmer grupları hızla büyüyor ve fark edilmemek için çeşitli yollar kullanarak çeşitli e-ticaret platformlarını hedefliyor" dedi.
"En son teknikler, e-ticaret platformlarının savunmasız sürümlerinden ödün vermeyi, CDN'lerde ve bulut hizmetlerinde skimmer komut dosyalarını barındırmayı ve kötü niyetli skimmer komut dosyalarını barındırmak için herhangi bir meşru web hizmetine veya belirli e-ticaret mağazasına sözcüksel olarak yakın yeni kayıtlı alan adlarını (NRD'ler) kullanmayı içerir. "