Webmasteři Pozor! WordPress skimmery využívají databázové tabulky ke krádeži platebních údajů

Experti na kybernetickou bezpečnost odhalili kradmou a sofistikovanou kampaň na skimming kreditních karet zaměřenou na weby WordPress. Vložením škodlivého JavaScriptu do databázových tabulek tyto skimmery obcházejí tradiční metody detekce, aby ukradly citlivé platební údaje. Tato alarmující hrozba podtrhuje vyvíjející se taktiku, kterou kyberzločinci používají k využívání platforem elektronického obchodování.

Jak Skimming Malware funguje

Webmasteři by si měli vždy dávat pozor na škodlivý JavaScript, protože toto zneužívání skimmeru může být jedním z těch, které uklouznou pod dohledem. Skimmery cílí na webové stránky elektronického obchodu WordPress vložením škodlivého JavaScriptu do tabulky wp_options pod možností „widget_block“. Tato metoda umožňuje, aby se malware skryl na očích, čímž se zabrání detekci většinou bezpečnostních nástrojů. Po vložení malware využívá administrativní rozhraní WordPress k vložení škodlivého JavaScriptu do blokových widgetů HTML.

Aktivace na stránkách pokladny

Skimming skript se aktivuje pouze na pokladních stránkách, kde:

1. Únosy existujících platebních polí – Upravuje legitimní pole pro zachycení platebních údajů.
2. Vkládá falešné formuláře kreditních karet – Dynamicky vytváří platební formulář, který napodobuje skutečné procesory, jako je Stripe.

Tyto falešné formuláře zachycují citlivé detaily, jako jsou čísla kreditních karet, CVV a fakturační údaje. Alternativně může skript sledovat legitimní platební formuláře a krást data zadaná v reálném čase.

Zatemnění a exfiltrace

Ukradená data jsou zakódována a zašifrována, aby odolala detekci:

• Base64 Encoding : Převádí data do neškodně vypadajícího formátu.
• Šifrování AES-CBC : Přidává vrstvu zabezpečení, aby se zabránilo analýze.
• Přenos dat : Odesílá zakódované informace na servery ovládané útočníky, jako je valhafather[.]xyz nebo fqbe23[.]xyz .

Širší kampaň klamání

Tento útok následuje po podobných pokusech o skimming, včetně jednoho, kdy byl malware JavaScript použit k dynamickému vytváření falešných platebních formulářů nebo extrahování dat z legitimních pokladních polí. V tomto případě byla data před odesláním na vzdálený server zašifrována pomocí metod JSON a XOR.

Další útočné vektory

Sofistikovanost těchto kampaní přesahuje WordPress:

• Phishingové e-maily PayPal : Aktéři hrozeb odesílají e-maily z legitimních adres PayPal, aby přiměli uživatele k přihlášení a propojení jejich účtů s distribučními seznamy kontrolovanými útočníky.
• Zneužívání kryptoměnových peněženek : Kyberzločinci využívají funkce simulace transakcí Web3 peněženky k nastavení falešných decentralizovaných aplikací (DApps) a vypouštění peněženek během fáze provádění.

Ochrana vašich webových stránek a zákazníků

Chcete-li chránit weby elektronického obchodu WordPress před těmito hrozbami:

1. Pravidelně auditujte tabulky databáze : Zaměřte se na tabulku wp_options a neznámé položky.
2. Aktualizujte a opravte WordPress : Zajistěte, aby byly všechny pluginy a motivy aktuální, aby se zmírnily zranitelnosti.
3. Implementujte brány firewall webových aplikací (WAF) : Blokujte škodlivé skripty dříve, než se dostanou do vaší databáze.
4. Monitorování anomální aktivity administrátorského panelu : Věnujte pozornost změnám ve widgetech a blocích HTML.
5. Vzdělávejte uživatele : Varujte zákazníky před falešnými platebními formuláři a riziky phishingových e-mailů.

Vývoj skimmerů kreditních karet zaměřených na weby WordPress zdůrazňuje důležitost robustních postupů kybernetické bezpečnosti. Díky vkládání škodlivého kódu přímo do databázových tabulek jsou tyto kampaně hůře odhalitelné a efektivnější při krádeži citlivých dat. Majitelé webových stránek musí zůstat ostražití a proaktivní při zabezpečení svých platforem, aby ochránili jak své podnikání, tak své zákazníky před těmito stále sofistikovanějšími hrozbami.