Webmastere Pas på! WordPress Skimmers udnytter databasetabeller til at stjæle betalingsoplysninger
Cybersikkerhedseksperter har afsløret en snigende og sofistikeret kreditkort-skimming-kampagne rettet mod WordPress-websteder. Ved at indlejre ondsindet JavaScript i databasetabeller omgår disse skimmere traditionelle registreringsmetoder for at stjæle følsomme betalingsoplysninger. Denne alarmerende trussel understreger den udviklende taktik, cyberkriminelle bruger til at udnytte e-handelsplatforme.
Indholdsfortegnelse
Sådan fungerer skimming-malwaren
Webmastere bør altid være på udkig efter skadelig JavaScript, da denne udnyttelse af skimmer kan være en, der glider under radaren. Skimmerne målretter WordPress e-handelswebsteder ved at injicere ondsindet JavaScript i wp_options-tabellen under indstillingen "widget_block." Denne metode gør det muligt for malware at gemme sig i almindeligt øjemed og undgår at blive opdaget af de fleste sikkerhedsværktøjer. Når malwaren er indlejret, udnytter den WordPress's administrative grænseflade til at injicere det skadelige JavaScript i HTML-blok-widgets.
Aktivering på kassesider
Skimming-scriptet aktiveres kun på betalingssider, hvor det:
- Kaprer eksisterende betalingsfelter – Ændrer legitime felter for at opsnappe betalingsdata.
- Injicerer falske kreditkortformularer - Opretter dynamisk en betalingsform, der efterligner rigtige processorer som Stripe.
Disse falske formularer fanger følsomme detaljer såsom kreditkortnumre, CVV'er og faktureringsoplysninger. Alternativt kan scriptet overvåge legitime betalingsformer og stjæle data indtastet i realtid.
Tilsløring og eksfiltration
De stjålne data er kodet og krypteret for at modstå detektion:
- Base64-kodning : Konverterer dataene til et harmløst udseende format.
- AES-CBC-kryptering : Tilføjer et lag af sikkerhed for at undgå analyse.
- Datatransmission : Sender den kodede information til angriberkontrollerede servere såsom
valhafather[.]xyzellerfqbe23[.]xyz.
En bredere kampagne for bedrag
Dette angreb følger lignende bestræbelser på skimming, inklusive en, hvor JavaScript-malware blev brugt til dynamisk at skabe falske betalingsformularer eller udtrække data fra legitime kassefelter. I dette tilfælde blev data krypteret ved hjælp af JSON- og XOR-metoder, før de blev sendt til en fjernserver.
Yderligere angrebsvektorer
Det sofistikerede ved disse kampagner strækker sig ud over WordPress:
- PayPal Phishing-e-mails : Trusselsaktører sender e-mails fra legitime PayPal-adresser for at narre brugere til at logge på og forbinde deres konti med angriberkontrollerede distributionslister.
- Cryptocurrency Wallet Exploits : Cyberkriminelle udnytter Web3 wallet transaktionssimuleringsfunktioner til at opsætte falske decentraliserede apps (DApps) og dræne tegnebøger under udførelsesfasen.
Beskyttelse af dit websted og dine kunder
For at beskytte WordPress e-handelswebsteder mod disse trusler:
- Revider regelmæssigt databasetabeller : Fokuser på wp_options- tabellen og ukendte poster.
- Opdater og patch WordPress : Sørg for, at alle plugins og temaer er opdaterede for at afbøde sårbarheder.
- Implementer webapplikationsfirewalls (WAF'er) : Bloker ondsindede scripts, før de når din database.
- Overvåg for uregelmæssig administrationspanelaktivitet : Vær opmærksom på ændringer i widgets og HTML-blokke.
- Uddan brugere : Advar kunder om falske betalingsformularer og risikoen ved phishing-e-mails.
Udviklingen af kreditkortskimmere, der målretter mod WordPress-websteder, fremhæver vigtigheden af robust cybersikkerhedspraksis. Ved at indlejre ondsindet kode direkte i databasetabeller er disse kampagner sværere at opdage og mere effektive til at stjæle følsomme data. Webstedsejere skal forblive på vagt og proaktive med at sikre deres platforme for at beskytte både deres virksomhed og deres kunder mod disse stadig mere sofistikerede trusler.