Správcovia webu Pozor! WordPress Skimmery využívajú databázové tabuľky na ukradnutie informácií o platbách

Odborníci na kybernetickú bezpečnosť odhalili tajnú a sofistikovanú kampaň na skimovanie kreditných kariet zameranú na webové stránky WordPress. Vložením škodlivého JavaScriptu do databázových tabuliek tieto skimmery obchádzajú tradičné metódy detekcie, aby ukradli citlivé platobné informácie. Táto alarmujúca hrozba podčiarkuje vyvíjajúcu sa taktiku, ktorú kyberzločinci používajú na zneužívanie platforiem elektronického obchodu.

Ako Skimming Malware funguje

Webmasteri by mali byť vždy na pozore pred škodlivým kódom JavaScript, pretože toto zneužívanie skimmerov môže byť také, ktoré unikne pozornosti. Skimmery sa zameriavajú na webové stránky elektronického obchodu WordPress vložením škodlivého JavaScriptu do tabuľky wp_options pod možnosťou „widget_block“. Táto metóda umožňuje, aby sa malvér skryl na očiach, čím sa zabráni odhaleniu väčšinou bezpečnostných nástrojov. Po vložení malvér využíva administratívne rozhranie WordPress na vloženie škodlivého JavaScriptu do blokových miniaplikácií HTML.

Aktivácia na stránkach Checkout

Skimming skript sa aktivuje iba na stránkach pokladne, kde:

1. Únos existujúcich platobných polí – Upravuje legitímne polia na zachytenie platobných údajov.
2. Vkladá falošné formuláre kreditných kariet – dynamicky vytvára platobný formulár, ktorý napodobňuje skutočných procesorov, ako je Stripe.

Tieto falošné formuláre zachytávajú citlivé detaily, ako sú čísla kreditných kariet, CVV a fakturačné údaje. Alternatívne môže skript monitorovať legitímne platobné formuláre a kradnúť údaje zadané v reálnom čase.

Zahmlievanie a exfiltrácia

Ukradnuté údaje sú zakódované a zašifrované, aby odolali detekcii:

• Kódovanie Base64 : Prevádza údaje do neškodne vyzerajúceho formátu.
• Šifrovanie AES-CBC : Pridáva vrstvu zabezpečenia, aby ste sa vyhli analýze.
• Prenos údajov : Odošle zakódované informácie na servery ovládané útočníkmi, ako sú valhafather[.]xyz alebo fqbe23[.]xyz .

Širšia kampaň klamania

Tento útok nasleduje po podobných pokusoch o skimming, vrátane jedného, pri ktorom sa malvér JavaScript použil na dynamické vytváranie falošných platobných formulárov alebo extrahovanie údajov z legitímnych polí pokladne. V tomto prípade boli údaje pred odoslaním na vzdialený server zašifrované pomocou metód JSON a XOR.

Ďalšie útočné vektory

Sofistikovanosť týchto kampaní presahuje WordPress:

• Phishingové e-maily PayPal : Aktéri hrozieb posielajú e-maily z legitímnych adries PayPal, aby oklamali používateľov, aby sa prihlásili a prepojili svoje účty s distribučnými zoznamami kontrolovanými útočníkmi.
• Využitie kryptomenových peňaženiek : Kyberzločinci využívajú funkcie simulácie transakcií peňaženky Web3 na nastavenie falošných decentralizovaných aplikácií (DApps) a odčerpávanie peňaženiek počas fázy vykonávania.

Ochrana vašich webových stránok a zákazníkov

Na ochranu webových stránok elektronického obchodu WordPress pred týmito hrozbami:

1. Pravidelne kontrolujte databázové tabuľky : Zamerajte sa na tabuľku wp_options a neznáme položky.
2. Aktualizácia a oprava WordPress : Uistite sa, že všetky doplnky a témy sú aktuálne, aby sa zmiernili zraniteľnosti.
3. Implementujte brány firewall webových aplikácií (WAF) : Blokujte škodlivé skripty skôr, ako sa dostanú do vašej databázy.
4. Monitorujte anomálnu aktivitu panela správcu : Venujte pozornosť zmenám vo widgetoch a blokoch HTML.
5. Vzdelávajte používateľov : Upozornite zákazníkov na falošné platobné formuláre a riziká phishingových e-mailov.

Vývoj skimmerov kreditných kariet zameraných na webové stránky WordPress zdôrazňuje dôležitosť robustných postupov kybernetickej bezpečnosti. Vložením škodlivého kódu priamo do databázových tabuliek je ťažšie odhaliť tieto kampane a efektívnejšie kradnúť citlivé údaje. Majitelia webových stránok musia zostať ostražití a proaktívni pri zabezpečovaní svojich platforiem, aby chránili svoje podnikanie aj svojich zákazníkov pred týmito čoraz sofistikovanejšími hrozbami.