مدیران سایت مراقب باشید! اسکیمرهای وردپرس از جداول پایگاه داده برای سرقت اطلاعات پرداخت سوء استفاده می کنند

کارشناسان امنیت سایبری یک کمپین مخفیانه و پیچیده اسکیمینگ کارت اعتباری را کشف کرده اند که وب سایت های وردپرس را هدف قرار می دهد. با جاسازی جاوا اسکریپت مخرب در جداول پایگاه داده، این اسکیمرها روش‌های تشخیص سنتی را برای سرقت اطلاعات حساس پرداخت دور می‌زنند. این تهدید هشداردهنده بر تاکتیک‌های در حال تکاملی که مجرمان سایبری برای بهره‌برداری از پلتفرم‌های تجارت الکترونیک استفاده می‌کنند، تأکید می‌کند.

نحوه عملکرد بدافزار Skimming

مدیران وب‌سایت‌ها باید همیشه مراقب جاوا اسکریپت مضر باشند، زیرا این بهره‌برداری از اسکیمر ممکن است در زیر رادار قرار بگیرد. اسکیمرها وب سایت های تجارت الکترونیک وردپرس را با تزریق جاوا اسکریپت مخرب به جدول wp_options تحت گزینه "widget_block" هدف قرار می دهند. این روش به بدافزار اجازه می دهد تا در دید ساده پنهان شود و از شناسایی توسط اکثر ابزارهای امنیتی جلوگیری شود. پس از جاسازی، بدافزار از رابط اداری وردپرس برای تزریق جاوا اسکریپت مضر به ویجت های بلوک HTML بهره می برد.

فعال سازی در صفحات پرداخت

اسکریپت اسکیمینگ فقط در صفحات پرداخت فعال می شود، جایی که:

1. فیلدهای پرداخت موجود را ربوده - فیلدهای قانونی را برای رهگیری داده های پرداخت تغییر می دهد.
2. فرم های کارت اعتباری جعلی را تزریق می کند - به صورت پویا یک فرم پرداخت ایجاد می کند که پردازنده های واقعی مانند Stripe را تقلید می کند.

این فرم‌های جعلی جزئیات حساسی مانند شماره کارت اعتباری، CVV و اطلاعات صورت‌حساب را ثبت می‌کنند. متناوبا، این اسکریپت می‌تواند فرم‌های پرداخت قانونی را نظارت کند و داده‌های وارد شده در زمان واقعی را به سرقت ببرد.

مبهم سازی و اکسفیلتراسیون

داده های دزدیده شده برای مقاومت در برابر تشخیص کدگذاری و رمزگذاری می شوند:

• Base64 Encoding : داده ها را به قالبی بی ضرر تبدیل می کند.
• رمزگذاری AES-CBC : یک لایه امنیتی برای فرار از تجزیه و تحلیل اضافه می کند.
• انتقال داده : اطلاعات رمزگذاری شده را به سرورهای تحت کنترل مهاجم مانند valhafather[.]xyz یا fqbe23[.]xyz ارسال می کند.

کمپین گسترده تر فریب

این حمله به دنبال تلاش‌های مشابه انجام می‌شود، از جمله حمله‌ای که در آن بدافزار جاوا اسکریپت برای ایجاد پویا فرم‌های پرداخت جعلی یا استخراج داده‌ها از فیلدهای پرداخت قانونی استفاده شده است. در آن نمونه، داده ها با استفاده از روش های JSON و XOR قبل از ارسال به یک سرور راه دور رمزگذاری شدند.

بردارهای حمله اضافی

پیچیدگی این کمپین ها فراتر از وردپرس است:

• ایمیل‌های فیشینگ PayPal : عوامل تهدید از آدرس‌های قانونی PayPal ایمیل می‌فرستند تا کاربران را فریب دهند تا وارد سیستم شوند و حساب‌هایشان را به لیست‌های توزیع تحت کنترل مهاجم پیوند دهند.
• سوء استفاده از کیف پول ارزهای دیجیتال : مجرمان سایبری از ویژگی های شبیه سازی تراکنش کیف پول Web3 برای راه اندازی برنامه های غیرمتمرکز جعلی (DApps) و تخلیه کیف پول ها در مرحله اجرا سوء استفاده می کنند.

محافظت از وب سایت و مشتریان شما

برای محافظت از سایت های تجارت الکترونیک وردپرس در برابر این تهدیدات:

1. به طور منظم جداول پایگاه داده حسابرسی : روی جدول wp_options و ورودی های ناشناخته تمرکز کنید.
2. به روز رسانی و وصله وردپرس : اطمینان حاصل کنید که همه افزونه ها و تم ها برای کاهش آسیب پذیری ها به روز هستند.
3. پیاده سازی فایروال های برنامه کاربردی وب (WAF) : اسکریپت های مخرب را قبل از رسیدن به پایگاه داده شما مسدود کنید.
4. نظارت بر فعالیت پنل مدیریت غیرعادی : به تغییرات در ویجت ها و بلوک های HTML توجه کنید.
5. آموزش کاربران : به مشتریان در مورد فرم های پرداخت جعلی و خطرات ایمیل های فیشینگ هشدار دهید.

تکامل اسکیمرهای کارت اعتباری که وب سایت های وردپرس را هدف قرار می دهند، اهمیت اقدامات امنیت سایبری قوی را برجسته می کند. با جاسازی کدهای مخرب مستقیماً در جداول پایگاه داده، شناسایی این کمپین ها سخت تر و در سرقت داده های حساس مؤثرتر است. صاحبان وب‌سایت‌ها باید در ایمن‌سازی پلتفرم‌های خود هوشیار و فعال باشند تا هم از کسب‌وکار و هم از مشتریان خود در برابر این تهدیدات پیچیده‌تر محافظت کنند.