Şu an ortalıkta Prestashop kullanıcılarını tehdit eden yeni bir kötü amaçlı yazılım dolanıyor. Güvenlik uzmanlarına göre bu kötü amaçlı yazılım e-ticaret mağazalarının yöneticilerinin oturum açma bilgilerini hedef almakta.
Şu an yalnızca Prestashop uygulamalarını hedef alan bu yeni kötü amaçlı yazılım, siber güvenlik şirketi Sucuri araştırmacısı Conrado Torquato tarafından hacklenmiş bir e-ticaret mağazasında bulundu.
Torquato saldırganın e-ticaret sitesinin sunucusuna erişim sağladığını ve “./controllers/admin/AdminLoginController.php” dosyasını değiştirerek dosyaya bir keylogger eklediğini söylüyor.
Prestashop oturum açma sayfasına kötü amaçlı bir PHP kodu eklenmiş
Bu PHP dosyası yönetici panelinin oturum açma sayfasını yüklüyor. Saldırganın dosya içerisine eklediği ekstra kod yöneticilerin oturum açma formuna girdikleri metinleri topluyor ve e-posta vasıtasıyla saldırganın posta kutusuna gönderiyor.
Torquato inceleme altına aldığı e-ticaret sitesinde saldırganın sitenin alan adını, oturum açma sayfasının URL’sini ve yöneticinin kimlik bilgilerini topladığını ifade ediyor.
“Bu e-postada saldırganın hacklenmiş Prestashop sitesinde oturum açmak için ihtiyaç duyduğu tüm bilgiler yer almakta,” diyor Torquato.
Saldırgan sunucuyu hacklemiş olmasına rağmen yönetici kimlik bilgilerini girmiş
Torquato’nun açıklayamadığı şey ise saldırganın zaten halihazırda siteyi ele geçirmiş ve sitenin kaynak kodunu değiştirmişken neden bir de yönetici oturum açma bilgilerine ihtiyaç duyduğu. Saldırganın ihtiyaç duyduğu her şeye erişimi varken ve kendi yönetici hesabını kolaylıkla oluşturabilecekken neden böyle bir yönteme başvurduğu merak konusu.
Bunun muhtemel nedenlerinden birinin bazı mağazaların daha büyük bir şirketin yalnızca görünen yüzleri olması olduğu dile getiriliyor. Saldırganlar mağaza sahiplerinin Prestashop oturum açma bilgilerini İntranetler, içerik yönetim sistemleri, VDS sunucuları, güvenlik duvarları gibi diğer dahili sistemlerde kullandıklarını tespit ettiklerinde, çalabilecekleri diğer hassas bilgilerin saklandığı sistemlere erişim sağlayabiliyorlar.
Sucuri araştırmacısı Conrado Torquato araştırmayı yaptığı süre zarfında yönetici oturum açma bilgilerinin e-posta yoluyla gönderildiği Gmail adresinin silindiğini söylüyor. Bunu da Google’ın bir suiistimal ihbarı sonucunda yapmış olabileceğini sözlerine ekliyor.
Online mağazalarda oturum açma bilgilerinin çalındığına pek sık rastlanmaz. Çoğu durumda güvenlik uzmanları bu mağazalarda kredi kartı bilgilerini ve ödeme formlarını toplayan kötü amaçlı kodlara rastlarlar. Bu nedenle Prestashop olayı henüz gizemini korumakta.
Kaynak: http://news.softpedia.com/news/prestashop-malware-found-logging-admin-credentials-509548.shtml
Yazar: https://blog.sucuri.net/2016/10/credentials-stealer-prestashop.html