Webmasteri, oprez! Skimeri WordPressa iskorištavaju tablice baze podataka za krađu podataka o plaćanju

Stručnjaci za kibernetičku sigurnost otkrili su tajnu i sofisticiranu kampanju skimminga kreditnih kartica usmjerenu na WordPress web stranice. Ugradnjom zlonamjernog JavaScripta u tablice baze podataka, ovi skimeri zaobilaze tradicionalne metode otkrivanja kako bi ukrali osjetljive podatke o plaćanju. Ova alarmantna prijetnja naglašava razvoj taktike koju kibernetički kriminalci koriste za iskorištavanje platformi za e-trgovinu.

Kako radi skiming zlonamjerni softver

Webmasteri bi uvijek trebali biti u potrazi za štetnim JavaScriptom jer bi ovo iskorištavanje skimera moglo promaknuti ispod radara. Skimeri ciljaju WordPress web stranice e-trgovine ubacivanjem zlonamjernog JavaScripta u tablicu wp_options pod opcijom "widget_block". Ova metoda omogućuje zlonamjernom softveru da se sakrije na vidljivom mjestu, izbjegavajući otkrivanje od strane većine sigurnosnih alata. Nakon što je ugrađen, zlonamjerni softver iskorištava WordPressovo administrativno sučelje za ubacivanje štetnog JavaScripta u HTML blok widgete.

Aktivacija na Checkout stranicama

Skripta za brzo pregledavanje aktivira se samo na stranicama za naplatu, gdje:

1. Otima postojeća polja za plaćanje – mijenja legitimna polja za presretanje podataka o plaćanju.
2. Ubacuje lažne obrasce kreditne kartice – Dinamički stvara obrazac za plaćanje koji oponaša stvarne procesore kao što je Stripe.

Ovi lažni obrasci bilježe osjetljive detalje kao što su brojevi kreditnih kartica, CVV-ovi i podaci o naplati. Alternativno, skripta može nadzirati legitimne obrasce plaćanja, kradući podatke unesene u stvarnom vremenu.

Zamagljivanje i eksfiltracija

Ukradeni podaci su kodirani i kriptirani kako bi se oduprli otkrivanju:

• Kodiranje Base64 : Pretvara podatke u format bezopasnog izgleda.
• AES-CBC Enkripcija : Dodaje sloj sigurnosti za izbjegavanje analize.
• Prijenos podataka : Šalje kodirane informacije poslužiteljima koje kontrolira napadač kao što su valhafather[.]xyz ili fqbe23[.]xyz .

Šira kampanja prijevare

Ovaj napad uslijedio je nakon sličnih pokušaja brzog skeniranja, uključujući onaj u kojem je zlonamjerni softver JavaScript korišten za dinamičko stvaranje lažnih obrazaca za plaćanje ili izvlačenje podataka iz legitimnih polja za naplatu. U tom su slučaju podaci šifrirani pomoću metoda JSON i XOR prije slanja na udaljeni poslužitelj.

Dodatni vektori napada

Sofisticiranost ovih kampanja nadilazi WordPress:

• PayPal phishing e-poruke : akteri prijetnji šalju e-poštu s legitimnih PayPal adresa kako bi prevarili korisnike da se prijave i povežu svoje račune s distribucijskim listama koje kontrolira napadač.
• Iskorištavanja novčanika kriptovalute : Cyberkriminalci iskorištavaju značajke simulacije transakcija novčanika Web3 za postavljanje lažnih decentraliziranih aplikacija (DApps) i pražnjenje novčanika tijekom faze izvršenja.

Zaštita vaše web stranice i kupaca

Da biste zaštitili WordPress stranice za e-trgovinu od ovih prijetnji:

1. Redovito nadzirite tablice baze podataka : usredotočite se na tablicu wp_options i nepoznate unose.
2. Ažurirajte i zakrpite WordPress : osigurajte da su svi dodaci i teme ažurni kako biste ublažili ranjivosti.
3. Implementirajte vatrozid web aplikacije (WAF) : Blokirajte zlonamjerne skripte prije nego dođu do vaše baze podataka.
4. Pratite nenormalnu aktivnost administratorske ploče : obratite pozornost na promjene u widgetima i HTML blokovima.
5. Educirajte korisnike : Upozorite kupce o lažnim obrascima za plaćanje i rizicima e-pošte za krađu identiteta.

Evolucija skimmera kreditnih kartica koji ciljaju WordPress web stranice naglašava važnost robusnih praksi kibernetičke sigurnosti. Ugradnjom zlonamjernog koda izravno u tablice baze podataka, te je kampanje teže otkriti i učinkovitije su u krađi osjetljivih podataka. Vlasnici web stranica moraju ostati oprezni i proaktivni u osiguravanju svojih platformi kako bi zaštitili svoje poslovanje i svoje kupce od ovih sve sofisticiranijih prijetnji.