Tīmekļa pārziņi, uzmanieties! WordPress skimmeri izmanto datu bāzes tabulas, lai nozagtu maksājumu informāciju

Kiberdrošības eksperti ir atklājuši slepenu un izsmalcinātu kredītkaršu pārmeklēšanas kampaņu, kuras mērķauditorija ir WordPress vietnes. Iegulstot ļaunprātīgu JavaScript datu bāzes tabulās, šie skimmeri apiet tradicionālās noteikšanas metodes, lai nozagtu sensitīvu maksājumu informāciju. Šis satraucošais drauds uzsver e-komercijas platformu izmantošanas taktikas attīstību, ko kibernoziedznieki izmanto.

Kā darbojas ļaunprogrammatūra “Skimming”.

Tīmekļa pārziņiem vienmēr ir jāraugās, vai nav kaitīga JavaScript, jo šī skimmera izmantošana var tikt pakļauta radaram. Skimmeri mērķē uz WordPress e-komercijas vietnēm, injicējot ļaunprātīgu JavaScript tabulā wp_options zem opcijas "widget_block". Šī metode ļauj ļaunprātīgai programmatūrai paslēpties redzamā vietā, izvairoties no atklāšanas ar lielāko daļu drošības rīku. Kad ļaunprogrammatūra ir iegulta, tā izmanto WordPress administratīvā interfeisa priekšrocības, lai HTML bloku logrīkos ievadītu kaitīgo JavaScript.

Aktivizēšana Checkout lapās

Skripts tiek aktivizēts tikai norēķinu lapās, kur tas:

1. Nolaupa esošos maksājumu laukus — pārveido likumīgos laukus, lai pārtvertu maksājumu datus.
2. Ievada viltotas kredītkaršu veidlapas — dinamiski izveido maksājuma veidlapu, kas atdarina reālus procesorus, piemēram, Stripe.

Šīs viltotās veidlapas tver sensitīvu informāciju, piemēram, kredītkaršu numurus, CVV un norēķinu informāciju. Alternatīvi, skripts var pārraudzīt likumīgas maksājumu veidlapas, nozagt datus, kas ievadīti reāllaikā.

Aptumšošanās un eksfiltrācija

Nozagtie dati tiek kodēti un šifrēti, lai pretotos atklāšanai:

• Base64 kodējums : pārvērš datus nekaitīgā formātā.
• AES-CBC šifrēšana : pievieno drošības līmeni, lai izvairītos no analīzes.
• Datu pārraide : nosūta kodētu informāciju uz uzbrucēju kontrolētiem serveriem, piemēram, valhafather[.]xyz vai fqbe23[.]xyz .

Plašāka maldināšanas kampaņa

Šis uzbrukums seko līdzīgiem pārmeklēšanas centieniem, tostarp uzbrukumam, kurā JavaScript ļaunprātīga programmatūra tika izmantota, lai dinamiski izveidotu viltotas maksājumu veidlapas vai iegūtu datus no likumīgiem norēķinu laukiem. Tādā gadījumā dati tika šifrēti, izmantojot JSON un XOR metodes, pirms tie tika nosūtīti uz attālo serveri.

Papildu uzbrukuma vektori

Šo kampaņu izsmalcinātība pārsniedz WordPress:

• PayPal pikšķerēšanas e-pasta ziņojumi : draudu dalībnieki sūta e-pasta ziņojumus no likumīgām PayPal adresēm, lai krāptu lietotājus, lai viņi pieteiktos un saistītu savus kontus ar uzbrucēju kontrolētiem adresātu sarakstiem.
• Kriptovalūtas maka izmantošanas iespējas : kibernoziedznieki izmanto Web3 maka darījumu simulācijas funkcijas, lai izpildes fāzes laikā iestatītu viltotas decentralizētas lietotnes (DApps) un iztukšotu makus.

Jūsu vietnes un klientu aizsardzība

Lai aizsargātu WordPress e-komercijas vietnes no šiem draudiem:

1. Regulāri pārbaudiet datu bāzes tabulas : koncentrējieties uz tabulu wp_options un nezināmiem ierakstiem.
2. WordPress atjaunināšana un labošana : nodrošiniet, lai visi spraudņi un motīvi būtu atjaunināti, lai mazinātu ievainojamības.
3. Ieviesiet tīmekļa lietojumprogrammu ugunsmūrus (WAF) : bloķējiet ļaunprātīgus skriptus, pirms tie sasniedz jūsu datu bāzi.
4. Pārraugiet anomālu administratora paneļa darbību : pievērsiet uzmanību izmaiņām logrīkos un HTML blokos.
5. Lietotāju izglītošana : brīdiniet klientus par viltotām maksājumu veidlapām un pikšķerēšanas e-pasta risku.

Kredītkaršu skimmeru attīstība, kuru mērķauditorija tiek atlasīta WordPress vietnēs, izceļ stabilas kiberdrošības prakses nozīmi. Iegulstot ļaunprātīgu kodu tieši datu bāzes tabulās, šīs kampaņas ir grūtāk atklāt un efektīvāk nozagt sensitīvus datus. Vietņu īpašniekiem ir jāsaglabā modrība un jābūt aktīviem, nodrošinot savas platformas, lai aizsargātu gan savu uzņēmumu, gan klientus no šiem arvien sarežģītākajiem draudiem.