Veebimeistrid Ettevaatust! WordPressi skimmerid kasutavad makseteabe varastamiseks andmebaasitabeleid
Küberturvalisuse eksperdid on avastanud salajase ja keeruka krediitkaartide otsimise kampaania, mis sihib WordPressi veebisaite. Manustades pahatahtliku JavaScripti andmebaasi tabelitesse, lähevad need skimmerid mööda traditsioonilistest tuvastusmeetoditest, et varastada tundlikku makseteavet. See murettekitav oht rõhutab arenevat taktikat, mida küberkurjategijad kasutavad e-kaubanduse platvormide ärakasutamiseks.
Sisukord
Kuidas Skimming pahavara töötab
Veebimeistrid peaksid alati jälgima kahjulikku JavaScripti, kuna see skimmeri ärakasutamine võib jääda radari alla. Skimmerid sihivad WordPressi e-kaubanduse veebisaite, sisestades pahatahtliku JavaScripti tabelisse wp_options valiku "widget_block" all. See meetod võimaldab pahavaral nähtavas kohas peituda, vältides enamiku turbetööriistade tuvastamist. Pärast manustamist kasutab pahavara WordPressi haldusliidest ära, et sisestada kahjulik JavaScript HTML-ploki vidinatesse.
Aktiveerimine Checkouti lehtedel
Koorimisskript aktiveerub ainult kassalehtedel, kus see:
- Kaaperdab olemasolevad makseväljad – muudab makseandmete pealtkuulamiseks seaduslikke välju.
- Sisestab võltsitud krediitkaardivorme – loob dünaamiliselt maksevormi, mis jäljendab tõelisi protsessoreid nagu Stripe.
Need võltsvormid salvestavad tundlikke üksikasju, nagu krediitkaardinumbreid, CVV-sid ja arveldusteavet. Teise võimalusena saab skript jälgida seaduslikke maksevorme, varastada reaalajas sisestatud andmeid.
Hägusus ja eksfiltratsioon
Varastatud andmed on kodeeritud ja krüpteeritud, et need ei oleks tuvastatavad:
- Base64 kodeering : teisendab andmed kahjutu välimusega vormingusse.
- AES-CBC krüptimine : lisab analüüsist kõrvalehoidmiseks turvakihi.
- Andmeedastus : saadab kodeeritud teabe ründaja juhitavatesse serveritesse, nagu
valhafather[.]xyzvõifqbe23[.]xyz.
Laiem pettuse kampaania
See rünnak järgneb sarnastele näpunäidetele, sealhulgas sellele, kus JavaScripti pahavara kasutati võltsitud maksevormide dünaamiliseks loomiseks või andmete väljavõtmiseks seaduslikest kassaväljadest. Sel juhul krüpteeriti andmed enne kaugserverisse saatmist JSON- ja XOR-meetoditega.
Täiendavad rünnakuvektorid
Nende kampaaniate keerukus ulatub WordPressist kaugemale:
- PayPali andmepüügimeilid : ohus osalejad saadavad e-kirju seaduslikelt PayPali aadressidelt, et meelitada kasutajaid sisse logima ja linkima oma kontosid ründajate juhitud leviloenditega.
- Krüptovaluuta rahakoti ärakasutamine : küberkurjategijad kasutavad Web3 rahakoti tehingute simulatsiooni funktsioone, et seadistada võltsitud detsentraliseeritud rakendusi (DApps) ja tühjendada rahakotte täitmisetapis.
Teie veebisaidi ja klientide kaitsmine
WordPressi e-kaubandussaitide kaitsmiseks nende ohtude eest tehke järgmist.
- Kontrollige regulaarselt andmebaasitabeleid : keskenduge tabelile wp_options ja tundmatutele kirjetele.
- Värskendage ja parandage WordPressi : turvaaukude leevendamiseks veenduge, et kõik pistikprogrammid ja teemad oleksid ajakohased.
- Rakendage veebirakenduste tulemüürid (WAF-id) : blokeerige pahatahtlikud skriptid enne, kui need teie andmebaasi jõuavad.
- Anomaalse administraatoripaneeli tegevuse jälgimine : pöörake tähelepanu vidinate ja HTML-plokkide muudatustele.
- Kasutajate harimine : hoiatage kliente võltsitud maksevormide ja andmepüügi e-kirjade ohtude eest.
WordPressi veebisaite sihitavate krediitkaartide areng tõstab esile tugeva küberturvalisuse olulisuse. Pahatahtliku koodi manustamisel otse andmebaasi tabelitesse on neid kampaaniaid raskem tuvastada ja tundlike andmete varastamine on tõhusam. Veebisaitide omanikud peavad jääma valvsaks ja olema ennetavad oma platvormide kaitsmisel, et kaitsta nii oma ettevõtet kui ka kliente nende üha keerukamate ohtude eest.