Вебмастери Пази! ВордПресс скимери користе табеле базе података да украду информације о плаћању

Стручњаци за сајбер безбедност открили су прикривену и софистицирану кампању скимирања кредитних картица која циља на ВордПресс веб локације. Уграђивањем злонамерног ЈаваСцрипт-а у табеле базе података, ови скимери заобилазе традиционалне методе откривања да би украли осетљиве информације о плаћању. Ова алармантна претња наглашава еволуирајућу тактику коју кибернетички криминалци користе за искоришћавање платформи за е-трговину.

Како функционише злонамерни софтвер Скимминг

Вебмастери би увек требало да буду у потрази за штетним ЈаваСцрипт-ом јер ова експлоатација скимера може да прође испод радара. Скимери циљају ВордПресс веб локације за е-трговину убацивањем злонамерног ЈаваСцрипт-а у табелу вп_оптионс под опцијом „видгет_блоцк“. Овај метод омогућава злонамерном софтверу да се сакрије на видном месту, избегавајући откривање од стране већине безбедносних алата. Једном уграђен, злонамерни софтвер користи предности административног интерфејса ВордПресс-а да убаци штетни ЈаваСцрипт у ХТМЛ виџете блока.

Активација на Цхецкоут страницама

Скрипта за скиминг се активира само на страницама за плаћање, где:

1. Отима постојећа поља за плаћање – Модификује легитимна поља ради пресретања података о плаћању.
2. Убацује лажне обрасце за кредитне картице – Динамички креира образац за плаћање који имитира праве процесоре као што је Стрипе.

Ови лажни обрасци обухватају осетљиве детаље као што су бројеви кредитних картица, ЦВВ-ови и информације о обрачуну. Алтернативно, скрипта може да надгледа легитимне обрасце плаћања, крадући податке унете у реалном времену.

Замагљивање и ексфилтрација

Украдени подаци су кодирани и шифровани да би били отпорни на откривање:

• Басе64 кодирање : Конвертује податке у безопасан формат.
• АЕС-ЦБЦ енкрипција : Додаје слој безбедности да би се избегла анализа.
• Пренос података : Шаље кодиране информације серверима које контролише нападач, као што су valhafather[.]xyz или fqbe23[.]xyz .

Шира кампања обмане

Овај напад прати сличне покушаје скимминга, укључујући онај где је малвер за ЈаваСцрипт коришћен за динамичко креирање лажних образаца за плаћање или извлачење података из легитимних поља за плаћање. У том случају, подаци су шифровани коришћењем метода ЈСОН и КСОР пре него што су послати на удаљени сервер.

Додатни вектори напада

Софистицираност ових кампања превазилази ВордПресс:

• ПаиПал пхисхинг е-поруке : Актери претњи шаљу е-поруке са легитимних ПаиПал адреса како би преварили кориснике да се пријаве и повежу своје налоге са листама дистрибуције које контролишу нападачи.
• Искоришћавање новчаника за криптовалуте : сајбер криминалци искориштавају функције симулације трансакција Веб3 новчаника да би поставили лажне децентрализоване апликације (ДАппс) и одвели новчанике током фазе извршења.

Заштита ваше веб странице и купаца

Да бисте заштитили ВордПресс сајтове за е-трговину од ових претњи:

1. Редовно проверавајте табеле базе података : Фокусирајте се на табелу вп_оптионс и непознате уносе.
2. Ажурирајте и закрпите ВордПресс : Уверите се да су сви додаци и теме ажурни да бисте ублажили рањивости.
3. Имплементирајте заштитне зидове за веб апликације (ВАФ) : Блокирајте злонамерне скрипте пре него што стигну у вашу базу података.
4. Надгледајте аномалну активност административне табле : Обратите пажњу на промене у виџетима и ХТМЛ блоковима.
5. Образујте кориснике : Упозорите купце о лажним обрасцима плаћања и ризицима пхисхинг е-порука.

Еволуција скиммера кредитних картица који циљају на ВордПресс веб локације наглашава важност робусних пракси сајбер безбедности. Уграђивањем злонамерног кода директно у табеле базе података, ове кампање је теже открити и ефикасније су у крађи осетљивих података. Власници веб локација морају остати опрезни и проактивни у обезбеђивању својих платформи како би заштитили своје пословање и своје клијенте од ових све софистициранијих претњи.