Attenzione webmaster! Gli skimmer di WordPress sfruttano le tabelle del database per rubare informazioni di pagamento
Gli esperti di sicurezza informatica hanno scoperto una campagna furtiva e sofisticata di skimming delle carte di credito che ha come obiettivo i siti web WordPress. Incorporando JavaScript dannoso nelle tabelle del database, questi skimmer aggirano i metodi di rilevamento tradizionali per rubare informazioni di pagamento sensibili. Questa minaccia allarmante sottolinea le tattiche in evoluzione che i criminali informatici usano per sfruttare le piattaforme di e-commerce.
Sommario
Come funziona il malware Skimming
I webmaster dovrebbero sempre stare attenti a JavaScript dannosi, poiché questo sfruttamento degli skimmer potrebbe essere uno che passa inosservato. Gli skimmer prendono di mira i siti Web di e-commerce WordPress iniettando JavaScript dannoso nella tabella wp_options sotto l'opzione "widget_block". Questo metodo consente al malware di nascondersi in bella vista, evitando di essere rilevato dalla maggior parte degli strumenti di sicurezza. Una volta incorporato, il malware sfrutta l'interfaccia amministrativa di WordPress per iniettare JavaScript dannoso nei widget di blocco HTML.
Attivazione sulle pagine di pagamento
Lo script di skimming si attiva solo nelle pagine di pagamento, dove:
- Dirotta i campi di pagamento esistenti : modifica i campi legittimi per intercettare i dati di pagamento.
- Inietta moduli di carte di credito falsi : crea dinamicamente un modulo di pagamento che imita i veri processori come Stripe.
Questi moduli falsi catturano dati sensibili come numeri di carte di credito, CVV e informazioni di fatturazione. In alternativa, lo script può monitorare moduli di pagamento legittimi, rubando i dati immessi in tempo reale.
Offuscamento ed esfiltrazione
I dati rubati vengono codificati e criptati per resistere al rilevamento:
- Codifica Base64 : converte i dati in un formato dall'aspetto innocuo.
- Crittografia AES-CBC : aggiunge un livello di sicurezza per eludere l'analisi.
- Trasmissione dati : invia le informazioni codificate ai server controllati dall'aggressore come
valhafather[.]xyzofqbe23[.]xyz.
Una campagna di inganno più ampia
Questo attacco segue tentativi di skimming simili, incluso uno in cui il malware JavaScript è stato utilizzato per creare dinamicamente falsi moduli di pagamento o estrarre dati da campi di checkout legittimi. In quel caso, i dati sono stati crittografati utilizzando metodi JSON e XOR prima di essere inviati a un server remoto.
Vettori di attacco aggiuntivi
La complessità di queste campagne si estende oltre WordPress:
- Email di phishing PayPal : gli autori delle minacce inviano email da indirizzi PayPal legittimi per indurre gli utenti ad accedere e a collegare i propri account a liste di distribuzione controllate dagli aggressori.
- Exploit dei portafogli di criptovaluta : i criminali informatici sfruttano le funzionalità di simulazione delle transazioni dei portafogli Web3 per creare false app decentralizzate (DApp) e prosciugare i portafogli durante la fase di esecuzione.
Proteggere il tuo sito web e i tuoi clienti
Per proteggere i siti di e-commerce WordPress da queste minacce:
- Controllare regolarmente le tabelle del database : concentrarsi sulla tabella wp_options e sulle voci sconosciute.
- Aggiorna e applica patch a WordPress : assicurati che tutti i plugin e i temi siano aggiornati per mitigare le vulnerabilità.
- Implementa firewall per applicazioni Web (WAF) : blocca gli script dannosi prima che raggiungano il tuo database.
- Monitora le attività anomale del pannello di amministrazione : presta attenzione alle modifiche nei widget e nei blocchi HTML.
- Istruisci gli utenti : avvisa i clienti sui moduli di pagamento falsi e sui rischi delle e-mail di phishing.
L'evoluzione degli skimmer di carte di credito che prendono di mira i siti web WordPress evidenzia l'importanza di solide pratiche di sicurezza informatica. Incorporando codice dannoso direttamente nelle tabelle del database, queste campagne sono più difficili da rilevare e più efficaci nel rubare dati sensibili. I proprietari di siti web devono rimanere vigili e proattivi nel proteggere le loro piattaforme per proteggere sia la loro attività che i loro clienti da queste minacce sempre più sofisticate.