Adverline adını taşıyan Parisli bir firmanın reklam dağıtım ağının kasım 2018 civarında hacklendiği ve yaklaşık 277 e-Ticaret sitesine sızıldığı raporlandı. RiskIQ [1] ve TrendMicro’dan güvenlik araştırmacılarına göre, “Megacart Group 12” adını taşıyan hacker grubu Paris merkezli reklam şirketinin altyapısını, bu ajanstan reklam alan e-Ticaret sitelerine virüs bulaştırmak için kullandı. Virüsün ödeme sayfasına giren kişilerin kredi kart bilgilerini çalmak üzere tasarlandığı kaydediliyor.
Trend Micro ve RiskIQ tarafından yayınlanan raporlarda daha ayrıntılı olarak analiz edilen Adverline CDN ihlalinin, yeni bir “Magecart saldırısı” olduğu belirtildi. Megacard saldırıları son 3 yıldır görülüyor ve kart bilgileri çalmakla uğraşıyor. Bu nedenle “web card yürütme” olarak da biliniyor. Çeşitli şekilleri biliniyor. Reklam üzerinden çalmak en karmaşık olanlardan birisi.
En basit Magecart saldırısı, bilgisayar korsanlarının bir e-ticaret sitesini ihlal edip sunucularına kötü amaçlı kod yerleştirmesi olarak verilir. En karmaşık olanları, hacker gruplarının üçüncü taraf servis sağlayıcılarını ihlal etmesi ve çevrimiçi şirketlerin mağazalarına kötü niyetli kodlar iletmek için bu şirketlerin altyapısını kullanmasıdır –ki bu son saldırı da böyle.
Geçen yıl, RiskIQ’nun Magecart Group 5 olarak takip ettiği bir grup, bu taktikle 12 tane altyapı firmasına sızarak, binlerce e-ticaret sitesine sızdı. RiskIQ bu seferki grubu grup 12 olarak isimlendiriyor ve grup 5’in taktiğini kopyaladığını iddia ediyor.
RiskIQ tehdit araştırmacısı Yonathan Klijnsma’ya göre, Adverline reklamları aracılığıyla verilen kötü amaçlı kod, geçerli sayfanın bağlantısına bakıp “kart”, “sipariş”, “sepet” ve benzeri 13 kelimeyi arıyor. Bu 13 içinden 10 tanesi İngilizce, ikisi Fransızca, biri Almanca, bu nedenle Grup 12’nin Adverline reklamlarının yerel Avrupa sitelerinde bulunabileceği, başka sitelerde de bu kodlara rastlanılabileceği kaydediliyor.
Saldırıyı yapan domainlerin ise durdurulduğu görülüyor [2]. Sunucunun da online’dan kaldırılması için çalışmaların sürdüğü kaydediliyor. Klijnsma saldırının yapıldığı sunucunun eylül ayında yayına alındığının görüldüğünü bildiriyor.
Nasıl Korunulabilir
Saldırının aradığı kelimeler arasında “Türkçe” kelimeler yok. Gerçi yabancı altyapı kullanan Türk e-Ticaret siteleri için hala arka planda bu kelimeler kullanılıyorsa tehlike var. İlaveten yabancı –özellikle Avrupalı– e-Ticaret firmalarından alışveriş edilmesi durumunda da tehlike var.
Son kullanıcılar kendilerini Magecart saldırılarına karşı korumak için çok az seçeneğe sahipler. Bazı antivirüs çözümleri iyi bilinen Magecart domainlerini tespit edebiliyor olsa da, yeni ve henüz fark edilememiş olan Magecart operasyonlarını tespit etmek zor.
Son kullanıcılar için daha sağlam bir tavsiye, çevrimiçi alışveriş yaparken tarayıcıda JavaScript desteğini kapatmak olacaktır. Ancak, bazı çevrimiçi mağazalar JavaScript olmadan düzgün çalışmıyor.
Diğer bir tavsiye, kullanıcıların sanal ya da belli bir süre için geçerli kredi kartlarını kullanmalarıdır.
[1] New Year, Same Magecart: The Continuation of Web-based Supply Chain Attacks