E-ticaret Yazılımı Sunan Volusion’a Magecart Saldırısı Düzenlendi!

Başlarken…
1999 yılında kurulan ABD merkezli Volusion, e-ticaret sitesi kurmak isteyenler için hazır tema, panel, vb. sağlayan popüler bir internet şirketi.

Uçtan uca e-ticaret sitesi (çevrimiçi mağaza) hizmeti sunan Volusion’ın güvenlik bariyerini aşan siber korsanlar, müşterilerin kayıtlı kredi kartı bilgilerini çalan kötü amaçlı kodlar kullanmaya başladılar. Siber saldırıdan etkilenen çevrimiçi mağaza sayısının 6 bin 500 civarında olduğu, söz konusu sayının, Volusion’ın toplam müşteri sayısı olan 20 bine çıkabileceği belirtiliyor. Önlemler de gelmeye başladı; saldırıya uğrayan platformlardan biri olan Sesame Street Live, gazetecilerin uyarısının ardından çocuklara yönelik eğitici gösteriler için bilet satışı gerçekleştirilen çevrimiçi mağazasını kapattı.

Haberin medyada yer bulduğu saatlerde, kötü amaçlı kodun halen Volusion sunucularında bulunduğu ve veri çalmaya devam ettiği öğrenildi. Tedirginlik yaratan saldırı, güvenlik firması RiskIQ tarafından doğrulanırken Volusion konuyla ilgili olarak medyaya ve saldırıyı takip eden Check Point ile Trend Micro siber güvenlik kuruluşlarına herhangi bir yorumda bulunmadı.

Bulut altyapısına sızıldı

Volusion, Google Bulut Platform müşterileri arasında yer alıyor. Bu kapsamda saldırı, geçtiğimiz hafta içinde siber saldırganların Volusion’ın Google Bulut altyapısına sızmasıyla gerçekleşti. Saldırganlar bir JavaScript dosyasını değiştirip müşteri kredi kartı bilgilerinin bulunduğu çevrimiçi formlara kredi kartı bilgilerini kaydeden kötü amaçlı kod yerleştirdiler. Değiştirilen dosya https://storage.googleapis.com/volusionapi/resources.js konumunda yer alıyor. Volusion tabanlı çevrimiçi mağazalara ise /a/j/vnav.js dosyası aracılığı ile yükleniyor.

Kodun detaylı olarak nasıl işlediğini incelemek isterseniz, güvenlik araştırmacısı Marcel Afrahim tarafından kaleme alınan Medium makalesine (İngilizce dilinde) göz atabilirsiniz.

Bir “Magecart” saldırısı…

Güvenlik uzmanları, saldırıyı bir “Magecart saldırısı” olarak tanımlıyor. Magecart nedir sorusunun yanıtı ise çevrimiçi mağazalardaki kredi kartı bilgilerinin ele geçirilmesi için yürütülen siber saldırılar şeklinde.

Magecart saldırıları için genelde hosting hizmetini (web sitelerinin tüm öğeleriyle yayında olması için gerekli servis) bireysel olarak karşılayan ve tarihi geçmiş sistemler kullanan çevrimiçi mağazalar hedef alınıyor. İkinci hedef, Volusion gibi bulut tabanlı platformlar ile çevrimiçi mağazalara belli hizmet araçları sunan firmalar oluyor.

En son akılda kalan Magecart saldırısı Mayıs 2019’da gerçekleşmiş; Tamamı bulut tabanlı olan Alpaca Forms, Picreel, AppLixir, RYVIU, OmniKick, eGain ve AdMaxim adlı 7 farklı firmanın güvenlik bariyerleri ihlal edilmişti.

RiskIQ’ya göre, son iki yılda giderek artan Magecart saldırıları 2019’da tavan yaptı. Firma, son birkaç ay içerisinde kredi kartı hırsızlığı için hazırlanan dillerin (skimmers olarak da bilinir) 18 binden fazla web sayfasında tespit edildiğini kaydediliyor.

Bir Öneri:
Siber güvenlik tavsiyeleri ile dolu Dijital Dünyada ‘Para’ Güvenliği makalesini okumak için buraya tıklayabilirsiniz.