Verkkovastaavat varokaa! WordPress Skimmers hyödyntää tietokantataulukoita varastaakseen maksutietoja
Kyberturvallisuuden asiantuntijat ovat löytäneet salakavalan ja hienostuneen luottokorttien salailukampanjan, joka on kohdistettu WordPress-verkkosivustoille. Upottamalla haitallisen JavaScriptin tietokantataulukoihin nämä skimmerit ohittavat perinteiset tunnistusmenetelmät varastaakseen arkaluontoisia maksutietoja. Tämä hälyttävä uhka korostaa kehittyvää taktiikkaa, jota verkkorikolliset käyttävät hyödyntäessään sähköisen kaupankäynnin alustoja.
Sisällysluettelo
Kuinka Skimming-haittaohjelma toimii
Verkkovastaavien tulee aina varoa haitallista JavaScriptiä, koska tämä skimmerin hyväksikäyttö voi jäädä tutkan alle. Skimmerit kohdistavat WordPressin verkkokauppasivustoihin syöttämällä haitallista JavaScriptiä wp_options-taulukkoon vaihtoehdon "widget_block" alla. Tämän menetelmän avulla haittaohjelmat voivat piiloutua näkyville, jolloin useimmat suojaustyökalut eivät havaitse niitä. Kun haittaohjelma on upotettu, se hyödyntää WordPressin hallintaliittymää ruiskuttaakseen haitallisen JavaScriptin HTML-lohkowidgetteihin.
Aktivointi Checkout-sivuilla
Skiming-skripti aktivoituu vain kassasivuilla, joilla se:
- Kaappaa olemassa olevia maksukenttiä – Muokkaa laillisia kenttiä maksutietojen sieppaamiseksi.
- Injects Fake Credit Card Forms – Luo dynaamisesti maksulomakkeen, joka jäljittelee todellisia prosessoreita, kuten Stripe.
Nämä väärennetyt lomakkeet tallentavat arkaluontoisia tietoja, kuten luottokorttinumeroita, CVV:itä ja laskutustietoja. Vaihtoehtoisesti komentosarja voi valvoa laillisia maksulomakkeita ja varastaa reaaliaikaisesti syötettyjä tietoja.
Hämärtäminen ja suodattaminen
Varastetut tiedot on koodattu ja salattu havaitsemisen estämiseksi:
- Base64-koodaus : Muuntaa tiedot vaarattoman näköiseen muotoon.
- AES-CBC-salaus : Lisää suojauskerroksen analyysin välttämiseksi.
- Tiedonsiirto : Lähettää koodatut tiedot hyökkääjien ohjaamille palvelimille, kuten
valhafather[.]xyztaifqbe23[.]xyz.
Laajempi petoksen kampanja
Tämä hyökkäys on seurausta samankaltaisista katsastustoimista, mukaan lukien sellainen, jossa JavaScript-haittaohjelmia käytettiin luomaan dynaamisesti väärennettyjä maksulomakkeita tai poimimaan tietoja laillisista kassakentistä. Tässä tapauksessa tiedot salattiin JSON- ja XOR-menetelmillä ennen kuin ne lähetettiin etäpalvelimelle.
Lisähyökkäysvektorit
Näiden kampanjoiden kehittyneisyys ulottuu WordPressin ulkopuolelle:
- PayPal-phishing-sähköpostit : Uhkatoimijat lähettävät sähköposteja laillisista PayPal-osoitteista huijatakseen käyttäjiä kirjautumaan sisään ja yhdistämään tilinsä hyökkääjien hallitsemiin jakelulistoihin.
- Kryptovaluuttalompakkohyökkäykset : Kyberrikolliset hyödyntävät Web3:n lompakkotapahtumasimulaatioominaisuuksia perustaakseen väärennettyjä hajautettuja sovelluksia (DApps) ja tyhjentääkseen lompakoita suoritusvaiheen aikana.
Verkkosivustosi ja asiakkaiden suojaaminen
Suojaa WordPress-verkkokauppasivustoja näiltä uhilta:
- Tarkista tietokantataulukot säännöllisesti : Keskity wp_options -taulukkoon ja tuntemattomiin merkintöihin.
- Päivitä ja korjaa WordPress : Varmista, että kaikki laajennukset ja teemat ovat ajan tasalla haavoittuvuuksien vähentämiseksi.
- Ota käyttöön WAF:t (Web Application Firewalls) : Estä haitalliset komentosarjat ennen kuin ne pääsevät tietokantaasi.
- Valvo poikkeavaa hallintapaneelin toimintaa : Kiinnitä huomiota widgetien ja HTML-lohkojen muutoksiin.
- Kouluta käyttäjiä : Varoita asiakkaita väärennetyistä maksulomakkeista ja tietojenkalasteluviestien riskeistä.
WordPress-verkkosivustoille kohdistettujen luottokorttilaskijoiden kehitys korostaa vankkojen kyberturvallisuuskäytäntöjen tärkeyttä. Upottamalla haitallista koodia suoraan tietokantataulukoihin, nämä kampanjat ovat vaikeammin havaittavissa ja tehokkaampia arkaluonteisten tietojen varastamisessa. Verkkosivustojen omistajien on pysyttävä valppaina ja proaktiivisina turvaaessaan alustansa suojellakseen sekä yritystään että asiakkaitaan näiltä yhä kehittyneemmiltä uhilta.