Веб-мастера, будьте бдительны! WordPress-скиммеры используют таблицы базы данных для кражи платежной информации
Эксперты по кибербезопасности раскрыли скрытую и сложную кампанию по скиммингу кредитных карт, нацеленную на сайты WordPress. Внедряя вредоносный JavaScript в таблицы базы данных, эти скиммеры обходят традиционные методы обнаружения, чтобы похищать конфиденциальную платежную информацию. Эта тревожная угроза подчеркивает развивающиеся тактики, которые киберпреступники используют для эксплуатации платформ электронной коммерции.
Оглавление
Как работает вредоносное ПО для скимминга
Веб-мастерам всегда следует быть начеку в отношении вредоносного JavaScript, поскольку эта эксплуатация скиммера может остаться незамеченной. Скиммеры нацелены на веб-сайты электронной коммерции WordPress, внедряя вредоносный JavaScript в таблицу wp_options под опцией "widget_block". Этот метод позволяет вредоносному ПО скрываться на виду, избегая обнаружения большинством инструментов безопасности. После внедрения вредоносное ПО использует административный интерфейс WordPress для внедрения вредоносного JavaScript в виджеты HTML-блоков.
Активация на страницах оформления заказа
Скрипт скимминга активируется только на страницах оформления заказа, где он:
- Перехватывает существующие поля платежа — изменяет законные поля для перехвата данных платежа.
- Внедряет поддельные формы кредитных карт — динамически создает платежную форму, имитирующую настоящие процессоры, такие как Stripe.
Эти поддельные формы захватывают конфиденциальные данные, такие как номера кредитных карт, CVV и платежную информацию. В качестве альтернативы скрипт может отслеживать законные платежные формы, воруя данные, введенные в режиме реального времени.
Запутывание и эксфильтрация
Украденные данные кодируются и шифруются, чтобы противостоять обнаружению:
- Кодировка Base64 : преобразует данные в безвредный на вид формат.
- Шифрование AES-CBC : добавляет уровень безопасности, позволяющий избежать анализа.
- Передача данных : отправляет закодированную информацию на контролируемые злоумышленником серверы, такие как
valhafather[.]xyzилиfqbe23[.]xyz.
Более широкая кампания обмана
Эта атака следует за аналогичными попытками скимминга, включая ту, где вредоносное ПО JavaScript использовалось для динамического создания поддельных платежных форм или извлечения данных из законных полей оформления заказа. В этом случае данные были зашифрованы с использованием методов JSON и XOR перед отправкой на удаленный сервер.
Дополнительные векторы атаки
Сложность этих кампаний выходит за рамки WordPress:
- Фишинговые письма PayPal : злоумышленники отправляют электронные письма с законных адресов PayPal, чтобы обманом заставить пользователей войти в систему и связать свои учетные записи со списками рассылки, контролируемыми злоумышленниками.
- Эксплойты криптовалютных кошельков : Киберпреступники используют функции имитации транзакций кошелька Web3 для создания поддельных децентрализованных приложений (DApps) и опустошения кошельков на этапе выполнения.
Защита вашего сайта и клиентов
Чтобы защитить сайты электронной коммерции WordPress от этих угроз:
- Регулярно проводите аудит таблиц базы данных : сосредоточьтесь на таблице wp_options и неизвестных записях.
- Обновление и исправление WordPress : убедитесь, что все плагины и темы обновлены, чтобы устранить уязвимости.
- Внедрите межсетевые экраны веб-приложений (WAF) : блокируйте вредоносные скрипты до того, как они попадут в вашу базу данных.
- Отслеживайте аномальную активность панели администратора : обращайте внимание на изменения в виджетах и HTML-блоках.
- Просвещайте пользователей : предупреждайте клиентов о поддельных платежных формах и рисках фишинговых писем.
Эволюция скиммеров кредитных карт, нацеленных на веб-сайты WordPress, подчеркивает важность надежных методов кибербезопасности. Благодаря внедрению вредоносного кода непосредственно в таблицы базы данных эти кампании сложнее обнаружить и они более эффективны в краже конфиденциальных данных. Владельцы веб-сайтов должны оставаться бдительными и проактивными в обеспечении безопасности своих платформ, чтобы защитить как свой бизнес, так и своих клиентов от этих все более сложных угроз.