Uważajcie webmasterzy! Skimmery WordPress wykorzystują tabele baz danych do kradzieży informacji o płatnościach
Eksperci ds. cyberbezpieczeństwa odkryli ukrytą i wyrafinowaną kampanię skimmingu kart kredytowych, której celem są witryny WordPress. Poprzez osadzanie złośliwego JavaScript w tabelach bazy danych, te skimery omijają tradycyjne metody wykrywania, aby kraść poufne informacje o płatnościach. To alarmujące zagrożenie podkreśla ewoluujące taktyki, których cyberprzestępcy używają do wykorzystywania platform e-commerce.
Spis treści
Jak działa złośliwe oprogramowanie Skimming
Webmasterzy powinni zawsze wypatrywać szkodliwego JavaScript, ponieważ ten skimmer może umknąć uwadze. Skimmery atakują witryny e-commerce WordPress, wstrzykując złośliwy JavaScript do tabeli wp_options pod opcją „widget_block”. Ta metoda pozwala złośliwemu oprogramowaniu ukryć się na widoku, unikając wykrycia przez większość narzędzi bezpieczeństwa. Po osadzeniu złośliwe oprogramowanie wykorzystuje interfejs administracyjny WordPressa, aby wstrzyknąć szkodliwy JavaScript do bloków HTML.
Aktywacja na stronach realizacji transakcji
Skrypt skimmingu aktywuje się tylko na stronach realizacji transakcji, gdzie:
- Przechwytuje istniejące pola płatności – modyfikuje prawidłowe pola w celu przechwycenia danych płatności.
- Wstrzykuje fałszywe formularze kart kredytowych – dynamicznie tworzy formularz płatności, który naśladuje prawdziwe procesory, takie jak Stripe.
Te fałszywe formularze przechwytują poufne dane, takie jak numery kart kredytowych, kody CVV i informacje rozliczeniowe. Alternatywnie, skrypt może monitorować legalne formularze płatności, kradnąc dane wprowadzane w czasie rzeczywistym.
Zaciemnianie i eksfiltracja
Skradzione dane są kodowane i szyfrowane w sposób utrudniający ich wykrycie:
- Kodowanie Base64 : Konwertuje dane do niegroźnie wyglądającego formatu.
- Szyfrowanie AES-CBC : dodaje warstwę zabezpieczeń, aby uniknąć analizy.
- Transmisja danych : wysyła zakodowane informacje do serwerów kontrolowanych przez atakującego, takich jak
valhafather[.]xyzlubfqbe23[.]xyz.
Szersza kampania oszustwa
Ten atak następuje po podobnych próbach skimmingu, w tym jednym, w którym złośliwe oprogramowanie JavaScript zostało użyte do dynamicznego tworzenia fałszywych formularzy płatności lub wyodrębniania danych z prawidłowych pól płatności. W tym przypadku dane zostały zaszyfrowane za pomocą metod JSON i XOR przed wysłaniem na zdalny serwer.
Dodatkowe wektory ataku
Wyrafinowanie tych kampanii wykracza poza WordPressa:
- E-maile phishingowe PayPal : Sprawcy zagrożeń wysyłają e-maile z legalnych adresów PayPal, aby nakłonić użytkowników do zalogowania się i połączenia swoich kont z kontrolowanymi przez atakujących listami dystrybucyjnymi.
- Wykorzystanie luk w zabezpieczeniach portfela kryptowalutowego : Cyberprzestępcy wykorzystują funkcje symulacji transakcji portfela Web3 do tworzenia fałszywych zdecentralizowanych aplikacji (DApps) i opróżniania portfeli w fazie wykonywania.
Ochrona Twojej witryny i klientów
Aby zabezpieczyć witryny e-commerce oparte na WordPressie przed tymi zagrożeniami:
- Regularnie audytuj tabele bazy danych : skup się na tabeli wp_options i nieznanych wpisach.
- Aktualizuj i poprawiaj WordPressa : Upewnij się, że wszystkie wtyczki i motywy są aktualne, aby ograniczyć podatności na ataki.
- Wdróż zapory aplikacji internetowych (WAF) : blokuj złośliwe skrypty zanim dotrą do Twojej bazy danych.
- Monitoruj nietypową aktywność panelu administracyjnego : zwracaj uwagę na zmiany w widżetach i blokach HTML.
- Edukuj użytkowników : Ostrzegaj klientów przed fałszywymi formularzami płatności i ryzykiem związanym z wiadomościami e-mail typu phishing.
Ewolucja skimmerów kart kredytowych atakujących witryny WordPress podkreśla znaczenie solidnych praktyk cyberbezpieczeństwa. Dzięki osadzaniu złośliwego kodu bezpośrednio w tabelach bazy danych, kampanie te są trudniejsze do wykrycia i skuteczniejsze w kradzieży poufnych danych. Właściciele witryn muszą zachować czujność i działać proaktywnie, zabezpieczając swoje platformy, aby chronić zarówno swoją firmę, jak i klientów przed tymi coraz bardziej wyrafinowanymi zagrożeniami.