حذاري يا مشرفي المواقع! يستغل مخترقو WordPress جداول قاعدة البيانات لسرقة معلومات الدفع

كشف خبراء الأمن السيبراني عن حملة سرقة بيانات بطاقات الائتمان الخفية والمتطورة التي تستهدف مواقع الويب التي تعمل بنظام WordPress. من خلال تضمين JavaScript ضار في جداول قواعد البيانات، تتجاوز هذه البرامج طرق الكشف التقليدية لسرقة معلومات الدفع الحساسة. ويؤكد هذا التهديد المزعج على التكتيكات المتطورة التي يستخدمها مجرمو الإنترنت لاستغلال منصات التجارة الإلكترونية.

كيف تعمل برامج التجسس الخبيثة

يجب على مشرفي المواقع أن يكونوا دائمًا على اطلاع على JavaScript الضارة لأن استغلال هذا البرنامج الخبيث قد يكون من النوع الذي يمر دون أن يلاحظه أحد. يستهدف البرنامج الخبيث مواقع التجارة الإلكترونية التي تعمل بنظام WordPress عن طريق حقن JavaScript ضار في جدول wp_options ضمن الخيار "widget_block". تسمح هذه الطريقة للبرامج الضارة بالاختباء في مكان واضح، وتجنب اكتشافها بواسطة معظم أدوات الأمان. بمجرد تضمينها، تستفيد البرامج الضارة من واجهة إدارة WordPress لحقن JavaScript الضارة في عناصر واجهة المستخدم HTML.

التنشيط على صفحات الخروج

يتم تنشيط البرنامج النصي للتصفح فقط في صفحات الخروج، حيث:

1. اختطاف حقول الدفع الموجودة – تعديل الحقول المشروعة لاعتراض بيانات الدفع.
2. حقن نماذج بطاقات الائتمان المزيفة – إنشاء نموذج دفع ديناميكيًا يحاكي المعالجات الحقيقية مثل Stripe.

تلتقط هذه النماذج المزيفة تفاصيل حساسة مثل أرقام بطاقات الائتمان ورموز CVV ومعلومات الفواتير. بدلاً من ذلك، يمكن للبرنامج النصي مراقبة نماذج الدفع المشروعة وسرقة البيانات المدخلة في الوقت الفعلي.

التعتيم والاستخراج

يتم ترميز البيانات المسروقة وتشفيرها لمقاومة الكشف:

• ترميز Base64 : يحول البيانات إلى تنسيق يبدو غير ضار.
• تشفير AES-CBC : يضيف طبقة من الأمان لتجنب التحليل.
• نقل البيانات : يرسل المعلومات المشفرة إلى خوادم يتحكم فيها المهاجم مثل valhafather[.]xyz أو fqbe23[.]xyz .

حملة خداع أوسع نطاقا

يأتي هذا الهجوم في أعقاب محاولات مماثلة لاختراق البيانات، بما في ذلك محاولة استخدام برامج ضارة بلغة JavaScript لإنشاء نماذج دفع مزيفة بشكل ديناميكي أو استخراج بيانات من حقول الدفع الشرعية. وفي تلك الحالة، تم تشفير البيانات باستخدام طريقتي JSON وXOR قبل إرسالها إلى خادم بعيد.

متجهات الهجوم الإضافية

لا يقتصر تطور هذه الحملات على WordPress:

• رسائل البريد الإلكتروني الاحتيالية من PayPal : يرسل الجهات الفاعلة المهددة رسائل بريد إلكتروني من عناوين PayPal شرعية لخداع المستخدمين لتسجيل الدخول وربط حساباتهم بقوائم التوزيع التي يتحكم فيها المهاجمون.
• ثغرات محفظة العملات المشفرة : يستغل مجرمو الإنترنت ميزات محاكاة معاملات محفظة Web3 لإعداد تطبيقات لامركزية وهمية (DApps) واستنزاف المحافظ أثناء مرحلة التنفيذ.

حماية موقع الويب الخاص بك وعملائك

لحماية مواقع التجارة الإلكترونية WordPress من هذه التهديدات:

1. قم بمراجعة جداول قاعدة البيانات بشكل منتظم : ركز على جدول wp_options والإدخالات غير المعروفة.
2. تحديث وتصحيح WordPress : تأكد من تحديث جميع المكونات الإضافية والمظاهر للتخفيف من نقاط الضعف.
3. تنفيذ جدران حماية تطبيقات الويب (WAFs) : قم بحظر البرامج النصية الضارة قبل وصولها إلى قاعدة البيانات الخاصة بك.
4. مراقبة نشاط لوحة الإدارة الشاذ : انتبه إلى التغييرات في الأدوات وكتل HTML.
5. تثقيف المستخدمين : تحذير العملاء من نماذج الدفع المزيفة ومخاطر رسائل البريد الإلكتروني الاحتيالية.

إن تطور برامج سرقة بيانات بطاقات الائتمان التي تستهدف مواقع WordPress يسلط الضوء على أهمية ممارسات الأمن السيبراني القوية. فمن خلال تضمين التعليمات البرمجية الضارة مباشرة في جداول قواعد البيانات، يصبح من الصعب اكتشاف هذه الحملات وتكون أكثر فعالية في سرقة البيانات الحساسة. ويتعين على أصحاب مواقع الويب أن يظلوا يقظين واستباقيين في تأمين منصاتهم لحماية أعمالهم وعملائهم من هذه التهديدات المتزايدة التعقيد.