Webmasters Se upp! WordPress Skimmers utnyttjar databastabeller för att stjäla betalningsinformation
Cybersäkerhetsexperter har avslöjat en smygande och sofistikerad kreditkortskampanj riktad mot WordPress-webbplatser. Genom att bädda in skadlig JavaScript i databastabeller kringgår dessa skummare traditionella upptäcktsmetoder för att stjäla känslig betalningsinformation. Detta alarmerande hot understryker den taktik som cyberbrottslingar använder sig av för att utnyttja e-handelsplattformar.
Innehållsförteckning
Hur skadlig programvara för skimming fungerar
Webbansvariga bör alltid vara på jakt efter skadlig JavaScript eftersom denna skummarexploatering kan vara en som glider under radarn. Skimmarna riktar in sig på WordPress e-handelswebbplatser genom att injicera skadlig JavaScript i tabellen wp_options under alternativet "widget_block." Den här metoden gör det möjligt för skadlig programvara att gömma sig i sikte och undvika upptäckt av de flesta säkerhetsverktyg. När skadlig programvara är inbäddad drar den fördel av WordPresss administrativa gränssnitt för att injicera skadlig JavaScript i HTML-blockwidgetar.
Aktivering på kassasidor
Skimming-skriptet aktiveras endast på kassasidor, där det:
- Kapar befintliga betalningsfält – Ändrar legitima fält för att fånga upp betalningsdata.
- Injicerar falska kreditkortsformulär – Skapar dynamiskt en betalningsform som efterliknar riktiga processorer som Stripe.
Dessa falska formulär fångar upp känsliga detaljer som kreditkortsnummer, CVV:er och faktureringsinformation. Alternativt kan skriptet övervaka legitima betalningsformulär och stjäla inmatade data i realtid.
Obfuskation och Exfiltration
Den stulna informationen är kodad och krypterad för att motstå upptäckt:
- Base64 Encoding : Konverterar data till ett format som ser ofarligt ut.
- AES-CBC-kryptering : Lägger till ett säkerhetslager för att undvika analys.
- Dataöverföring : Skickar den kodade informationen till angriparkontrollerade servrar som
valhafather[.]xyzellerfqbe23[.]xyz.
En bredare bedrägerikampanj
Den här attacken följer på liknande skumningsinsatser, inklusive en där JavaScript skadlig kod användes för att dynamiskt skapa falska betalningsformulär eller extrahera data från legitima kassafält. I det fallet krypterades data med JSON- och XOR-metoder innan de skickades till en fjärrserver.
Ytterligare attackvektorer
Det sofistikerade i dessa kampanjer sträcker sig bortom WordPress:
- PayPal Phishing-e-postmeddelanden : Hotaktörer skickar e-post från legitima PayPal-adresser för att lura användare att logga in och länka sina konton till angriparkontrollerade distributionslistor.
- Exploatering av kryptovalutaplånböcker : Cyberkriminella utnyttjar Web3-transaktionssimuleringsfunktioner för plånbok för att skapa falska decentraliserade appar (DApps) och tömma plånböcker under exekveringsfasen.
Skydda din webbplats och kunder
För att skydda WordPress e-handelswebbplatser från dessa hot:
- Granska databastabeller regelbundet : Fokusera på tabellen wp_options och okända poster.
- Uppdatera och korrigera WordPress : Se till att alla plugins och teman är uppdaterade för att mildra sårbarheter.
- Implementera webbapplikationsbrandväggar (WAF) : Blockera skadliga skript innan de når din databas.
- Övervaka avvikande aktivitet på adminpanelen : Var uppmärksam på ändringar i widgets och HTML-block.
- Utbilda användare : Varna kunder för falska betalningsformulär och riskerna med nätfiske-e-post.
Utvecklingen av kreditkortsskimmers som riktar in sig på WordPress-webbplatser understryker vikten av robusta cybersäkerhetsmetoder. Genom att bädda in skadlig kod direkt i databastabeller är dessa kampanjer svårare att upptäcka och effektivare när det gäller att stjäla känslig data. Webbplatsägare måste förbli vaksamma och proaktiva när det gäller att säkra sina plattformar för att skydda både sin verksamhet och sina kunder från dessa allt mer sofistikerade hot.