Visa, yeni bir “Javascript Skimmer” türü olarak bilinen Baka’ya karşı bir uyarı yayımladı. “Skimmer” terimi başlangıçta ATM ve diğer fiziksel kart okuyucu cihazlarda kullanılan ve kartlardaki manyetik şeritleri okuyarak kart bilgilerinin çalınmasını sağlayan cihazlar için kullanılıyordu. Teknolojinin ilerlemesi ve elektronik ticaretin de artmasıyla fiziksel olarak kart bilgisi çalan cihazların yerini, sunuculara ve kullanıcı bilgisayarlarına yerleştirilen zararlı kodlar aldı. Bu zararlı kod parçalarına da “Web Skimmer” adı verilmeye başlandı. Saldırganlar tarafından özellikle kullanıcı tarafında çalıştığı ve manipüle edilmesi daha kolay olduğu için en fazla Javascript kodları “Skimmer” olarak kullanılıyor.
Visa bünyesinde bu tarz güvenlik açıklarını araştıran Payment Fraud Disruption (PFD) isminde bir girişim bulunuyor. PFD geçen yıl da benzer şekilde kart bilgilerinin çalınmasını sağlayan Pipka isimli bir Javascript Skimmer keşfetmişti.
Baka Skimmer’ı diğer zararlı Javascript kodlarından farklı olarak her hedef için farklı şifreleme kullanarak her hedefe özel bir kodla script yüklüyor ve kendisini çalıştıktan sonra memory’den siliyor. Bu sayede malware scanner veya developer tools gibi bilinen yöntemlerle tespit edilemiyor.
Baka Skimmer nasıl çalışıyor
PFD araştırmacıları Baka’yı barındıran yedi C2 sunucusu (Command&Control server Kötü amaçlı yazılım bulaşmış cihazlara komutlar gönderen merkezi sunucu) tespit etti. Baka, bu C2 sunucuları kullanarak Javascript dosyalarını yükleyip ilgili scriptlerin çalıştırılmasını sağlıyor.
Baka, önce ziyaret edilen sayfaya dinamik bir script tagı açıp uzaktan bir javascript dosyası yükleyerek saldırıya başlıyor. Dosyanın yüklendiği URL şifrelenmiş olarak script içerisinden çağrılıyor ve her hedef için farklı URL üretilebiliyor.
Bir müşteri satış yapılan siteyi ziyaret ettiği zaman Baka kart bilgilerini çalmak için gerekli kodu çağırıp çalıştırmak için aşağıdaki adımları izlemeye başlıyor.
Şifrelenmiş olarak gönderilen bağlantı URL’ini kodun içine gömülü bir anahtar kullanarak deşifre ediyor.
Daha sora rastgele bir sayı üretip C2 sunucuya giden linke parametre olarak ekliyor. C2 sunucuya https://example[.]com/skimmer.js?q=0.123456890 şeklinde bir bağlantı isteği gönderiliyor.
C2 sunucu gelen request’e şifrelenmiş bir javascript kodu ile cevap dönüyor ve bu şifrelenmiş kod Baka yükleyicisi tarafından deşifre edilip kullanıcı tarafında çalışması sağlanıyor. Kart bilgilerinin çalınmasını sağlayan Skimmer kodu satıcısının sunucusuna veya siteyi ziyaret eden kişilerin bilgisayarına kaydedilmiyor.
Bu şekilde Skimmer payload sayfaya yüklendikten sonra ödeme sayfasındaki alanları ve taşıdığı bilgileri aldıktan sonra yine şifrelenmiş bir link oluşturarak bilgi hırsızlığı için kullanılan URL’e parametre olarak ekleniyor. Bu parametre sayfada bulunan bir imaja link veriyor fakat sayfada bir imaj bulunmuyor. Zararlı kod, ilgili imajı satıcının sayfasına ekliyor. İmaj çalınan bilgileri içeren ve C2 sunucuya gönderen bir link barındırıyor. Saldırının tespit edilmesini engellemek için oluşturulduktan 3 saniye sonra siliniyor.
Son olarak da bir temizleyici fonksiyon çalışarak bütün bu bilgi hırsızlığını sağlayan zararlı script’in hafızadan silinmesini sağlıyor. Baka’nın daha önce Skimmer zararlılarından hiç kullanılmayan bir yöntemle XOR şifreleme yöntemini kullandığı da tespit edildi.
Visa’nın tespit ettiği Baka Skimmer’ı barındıran domainler ise şu şekilde:
jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com apisquere[.]com ordercheck[.]online pridecdn[.]com
Visa’nın ilgili açığa karşı e-ticaret ve satış siteleri ile kullanıcılara önerileri şu şekilde oldu: E-ticaret site sahiplerine sunucu ve servislerinde kullanılan yazılım güncelleme ve yamalarını tamamlamaları ve zafiyet tarama testleri yapmaları önerilirken aynı zamanda CDN ve üçüncü parti servisleri de kontrol etmeleri öneriliyor. Kullanıcılara ise ödeme esnasında bulundukları online satış sitesinin ödeme servisi yerine kendi bankalarına ait 3D Secure gibi ödeme servislerini kullanmaları öneriliyor. Şirket ayrıca e-ticaret sitelerinin güvenliği için bir rehber de paylaştı.