Webmastere Pass på! WordPress Skimmers utnytter databasetabeller for å stjele betalingsinformasjon
Eksperter på nettsikkerhet har avdekket en snikende og sofistikert kredittkort-skimming-kampanje rettet mot WordPress-nettsteder. Ved å bygge inn ondsinnet JavaScript i databasetabeller, omgår disse skimmerne tradisjonelle deteksjonsmetoder for å stjele sensitiv betalingsinformasjon. Denne alarmerende trusselen understreker taktikken som cyberkriminelle bruker for å utnytte e-handelsplattformer.
Innholdsfortegnelse
Hvordan skimming-malware fungerer
Webmastere bør alltid være på utkikk etter skadelig JavaScript, siden denne skimmerutnyttelsen kan være en som sklir under radaren. Skimmerne retter seg mot WordPress e-handelsnettsteder ved å injisere skadelig JavaScript i wp_options-tabellen under alternativet "widget_block." Denne metoden gjør det mulig for skadelig programvare å gjemme seg lett synlig, og unngår oppdagelse av de fleste sikkerhetsverktøy. Når den er innebygd, drar skadelig programvare fordel av WordPresss administrative grensesnitt for å injisere skadelig JavaScript i HTML-blokk-widgets.
Aktivering på betalingssider
Skimming-skriptet aktiveres bare på betalingssidene, der det:
- Kaprer eksisterende betalingsfelt – Modifiserer legitime felt for å fange opp betalingsdata.
- Injiserer falske kredittkortskjemaer - Oppretter dynamisk et betalingsskjema som etterligner ekte prosessorer som Stripe.
Disse falske skjemaene fanger opp sensitive detaljer som kredittkortnumre, CVV-er og faktureringsinformasjon. Alternativt kan skriptet overvåke legitime betalingsformer, og stjele data som er lagt inn i sanntid.
Obfuskasjon og eksfiltrering
De stjålne dataene er kodet og kryptert for å motstå gjenkjenning:
- Base64-koding : Konverterer dataene til et ufarlig format.
- AES-CBC-kryptering : Legger til et lag med sikkerhet for å unngå analyse.
- Dataoverføring : Sender den kodede informasjonen til angriperkontrollerte servere som
valhafather[.]xyzellerfqbe23[.]xyz.
En bredere kampanje for bedrag
Dette angrepet følger lignende forsøk, inkludert en der JavaScript-malware ble brukt til dynamisk å lage falske betalingsskjemaer eller trekke ut data fra legitime betalingsfelt. I det tilfellet ble data kryptert med JSON- og XOR-metoder før de ble sendt til en ekstern server.
Ytterligere angrepsvektorer
Det sofistikerte til disse kampanjene strekker seg utover WordPress:
- PayPal Phishing-e-poster : Trusselaktører sender e-poster fra legitime PayPal-adresser for å lure brukere til å logge på og koble kontoene deres til angriperkontrollerte distribusjonslister.
- Cryptocurrency Wallet-utnyttelse : Cyberkriminelle utnytter Web3-lommeboktransaksjonssimuleringsfunksjoner for å sette opp falske desentraliserte apper (DApps) og tappe lommebøker under utførelsesfasen.
Beskyttelse av nettstedet og kundene dine
For å beskytte WordPress e-handelssider mot disse truslene:
- Regelmessig revidere databasetabeller : Fokuser på wp_options- tabellen og ukjente oppføringer.
- Oppdater og oppdatering WordPress : Sørg for at alle plugins og temaer er oppdatert for å redusere sårbarheter.
- Implementer brannmurer for nettapplikasjoner (WAF-er) : Blokker skadelige skript før de når databasen din.
- Overvåk for uregelmessig administrasjonspanelaktivitet : Vær oppmerksom på endringer i widgets og HTML-blokker.
- Lær brukere : Advar kunder om falske betalingsskjemaer og risikoen for phishing-e-post.
Utviklingen av kredittkortskimmere rettet mot WordPress-nettsteder fremhever viktigheten av robuste nettsikkerhetspraksis. Ved å bygge inn skadelig kode direkte i databasetabeller, er disse kampanjene vanskeligere å oppdage og mer effektive til å stjele sensitive data. Nettstedseiere må være årvåkne og proaktive når det gjelder å sikre plattformene sine for å beskytte både virksomheten og kundene sine mot disse stadig mer sofistikerte truslene.