Žiniatinklio valdytojai, saugokitės! „WordPress Skimmers“ naudoja duomenų bazių lenteles, kad pavogtų mokėjimo informaciją

Kibernetinio saugumo ekspertai atskleidė slaptą ir sudėtingą kredito kortelių nuskaitymo kampaniją, skirtą „WordPress“ svetainėms. Įdėdami kenkėjišką „JavaScript“ į duomenų bazių lenteles, šie skimmeriai apeina tradicinius aptikimo metodus, kad pavogtų neskelbtiną mokėjimo informaciją. Ši nerimą kelianti grėsmė pabrėžia besikeičiančią taktiką, kurią kibernetiniai nusikaltėliai naudoja norėdami išnaudoti elektroninės prekybos platformas.

Kaip veikia „Skiming“ kenkėjiška programa

Žiniatinklio valdytojai visada turėtų ieškoti žalingo „JavaScript“, nes šis skimerio išnaudojimas gali būti nepastebimas. Skimmeriai taikosi į „WordPress“ el. prekybos svetaines, įvesdami kenkėjišką „JavaScript“ į lentelę wp_options pagal parinktį „widget_block“. Šis metodas leidžia kenkėjiškai programai pasislėpti matomoje vietoje, išvengiant daugelio saugos įrankių aptikimo. Įterpta kenkėjiška programa pasinaudoja „WordPress“ administracine sąsaja, kad į HTML blokų valdiklius įterptų žalingą „JavaScript“.

Aktyvinimas patikros puslapiuose

Nuskaitymo scenarijus suaktyvinamas tik atsiskaitymo puslapiuose, kur:

1. Užgrobia esamus mokėjimo laukus – pakeičia teisėtus laukus, kad būtų perimti mokėjimo duomenys.
2. Suleidžia netikras kredito kortelių formas – dinamiškai sukuria mokėjimo formą, kuri imituoja tikrus procesorius, tokius kaip Stripe.

Šios netikros formos fiksuoja slaptą informaciją, pvz., kredito kortelių numerius, CVV ir atsiskaitymo informaciją. Arba scenarijus gali stebėti teisėtas mokėjimo formas, vogdamas duomenis, įvestus realiuoju laiku.

Obfuskacija ir eksfiltracija

Pavogti duomenys yra užkoduoti ir užšifruoti, kad būtų išvengta aptikimo:

• „Base64“ kodavimas : konvertuoja duomenis į nekenksmingą formatą.
• AES-CBC šifravimas : prideda saugumo lygį, kad būtų išvengta analizės.
• Duomenų perdavimas : siunčia užkoduotą informaciją į užpuolikų valdomus serverius, tokius kaip valhafather[.]xyz arba fqbe23[.]xyz .

Platesnė apgaulės kampanija

Ši ataka vykdoma po panašių nuskaitymo pastangų, įskaitant tą, kai „JavaScript“ kenkėjiška programa buvo naudojama dinamiškai sukurti netikras mokėjimo formas arba išgauti duomenis iš teisėtų atsiskaitymo laukų. Tokiu atveju prieš siunčiant į nuotolinį serverį duomenys buvo užšifruoti naudojant JSON ir XOR metodus.

Papildomi atakos vektoriai

Šių kampanijų sudėtingumas apima ne tik „WordPress“:

• „PayPal“ sukčiavimo el. laiškai : grėsmės veikėjai siunčia el. laiškus iš teisėtų „PayPal“ adresų, kad apgautų vartotojus prisijungti ir susieti savo paskyras su užpuoliko kontroliuojamais platinimo sąrašais.
• Kriptovaliutos piniginės išnaudojimas : kibernetiniai nusikaltėliai naudoja Web3 piniginės operacijų modeliavimo funkcijas, kad nustatytų netikras decentralizuotas programas (DApps) ir ištuštėtų pinigines vykdymo etape.

Jūsų svetainės ir klientų apsauga

Norėdami apsaugoti „WordPress“ el. prekybos svetaines nuo šių grėsmių:

1. Reguliariai tikrinkite duomenų bazės lenteles : sutelkite dėmesį į lentelę wp_options ir nežinomus įrašus.
2. Atnaujinkite ir pataisykite „WordPress“ : įsitikinkite, kad visi papildiniai ir temos yra atnaujintos, kad sumažintumėte pažeidžiamumą.
3. Įdiekite žiniatinklio programų užkardas (WAF) : blokuokite kenkėjiškus scenarijus, kol jie nepasiekia jūsų duomenų bazės.
4. Stebėkite anomalią administratoriaus skydelio veiklą : atkreipkite dėmesį į valdiklių ir HTML blokų pakeitimus.
5. Mokykite vartotojus : įspėkite klientus apie netikras mokėjimo formas ir sukčiavimo el. laiškų riziką.

Kreditinių kortelių skimmerių, taikomų „WordPress“ svetainėms, raida pabrėžia tvirtos kibernetinio saugumo praktikos svarbą. Įterpiant kenkėjišką kodą tiesiai į duomenų bazių lenteles, šias kampanijas sunkiau aptikti ir veiksmingiau pavogti neskelbtinus duomenis. Svetainių savininkai turi išlikti budrūs ir aktyvūs, kad apsaugotų savo platformas, kad apsaugotų savo verslą ir klientus nuo šių vis sudėtingesnių grėsmių.