Уеб администратори, внимавайте! Скимерите на WordPress експлоатират таблици в бази данни, за да откраднат информация за плащане
Експертите по киберсигурност разкриха скрита и сложна кампания за скимиране на кредитни карти, насочена към уебсайтове на WordPress. Чрез вграждане на злонамерен JavaScript в таблиците на базата данни, тези скимери заобикалят традиционните методи за откриване, за да откраднат чувствителна информация за плащане. Тази тревожна заплаха подчертава развиващите се тактики, които киберпрестъпниците използват, за да експлоатират платформите за електронна търговия.
Съдържание
Как работи зловредният софтуер за скимиране
Уеб администраторите винаги трябва да бъдат нащрек за вреден JavaScript, тъй като тази експлоатация на скимер може да се изплъзне под радара. Скимерите се насочват към уебсайтове за електронна търговия на WordPress, като инжектират злонамерен JavaScript в таблицата wp_options под опцията „widget_block“. Този метод позволява на злонамерения софтуер да се скрие на видно място, избягвайки откриването му от повечето инструменти за сигурност. Веднъж вграден, зловреден софтуер се възползва от административния интерфейс на WordPress, за да инжектира вредния JavaScript в джаджи за HTML блок.
Активиране на страниците за плащане
Скриптът за скимиране се активира само на страниците за плащане, където:
- Отвлича съществуващи полета за плащане – Модифицира легитимни полета, за да прихваща данни за плащане.
- Вмъква формуляри за фалшиви кредитни карти – Динамично създава формуляр за плащане, който имитира истински процесори като Stripe.
Тези фалшиви формуляри улавят чувствителни данни като номера на кредитни карти, CVV и информация за плащане. Алтернативно, скриптът може да наблюдава легитимни формуляри за плащане, като краде данни, въведени в реално време.
Замъгляване и ексфилтрация
Откраднатите данни са кодирани и криптирани, за да устоят на откриването:
- Base64 Encoding : Преобразува данните в безвреден на вид формат.
- AES-CBC криптиране : Добавя слой на сигурност за избягване на анализа.
- Предаване на данни : Изпраща кодираната информация до сървъри, контролирани от нападател, като
valhafather[.]xyzилиfqbe23[.]xyz.
По-широка кампания за измама
Тази атака следва подобни усилия за скимиране, включително такава, при която зловреден софтуер на JavaScript е използван за динамично създаване на фалшиви формуляри за плащане или извличане на данни от легитимни полета за плащане. В този случай данните бяха криптирани с помощта на методи JSON и XOR, преди да бъдат изпратени до отдалечен сървър.
Допълнителни вектори на атака
Сложността на тези кампании се простира отвъд WordPress:
- PayPal фишинг имейли : Актьорите на заплахи изпращат имейли от легитимни адреси на PayPal, за да подмамят потребителите да влязат и да свържат своите акаунти към контролирани от нападателите списъци за разпространение.
- Експлоатации на портфейла за криптовалута : Киберпрестъпниците използват функциите за симулация на транзакции на портфейла Web3, за да настроят фалшиви децентрализирани приложения (DApps) и да източват портфейли по време на фазата на изпълнение.
Защита на Вашия уебсайт и клиенти
За да защитите сайтовете за електронна търговия на WordPress от тези заплахи:
- Редовно проверявайте таблиците на базата данни : Съсредоточете се върху таблицата wp_options и неизвестните записи.
- Актуализирайте и коригирайте WordPress : Уверете се, че всички добавки и теми са актуални, за да смекчите уязвимостите.
- Внедрете защитни стени за уеб приложения (WAF) : Блокирайте злонамерени скриптове, преди да достигнат до вашата база данни.
- Наблюдавайте за аномална активност на административния панел : Обърнете внимание на промените в уиджетите и HTML блоковете.
- Обучавайте потребителите : Предупреждавайте клиентите за фалшиви формуляри за плащане и рисковете от фишинг имейли.
Еволюцията на скимърите за кредитни карти, насочени към уебсайтове на WordPress, подчертава важността на стабилните практики за киберсигурност. Чрез вграждането на зловреден код директно в таблиците на базата данни, тези кампании са по-трудни за откриване и по-ефективни при кражба на чувствителни данни. Собствениците на уебсайтове трябва да останат бдителни и проактивни в осигуряването на своите платформи, за да защитят както своя бизнес, така и своите клиенти от тези все по-сложни заплахи.