ผู้ดูแลเว็บไซต์ต้องระวัง! WordPress Skimmers ใช้ประโยชน์จากตารางฐานข้อมูลเพื่อขโมยข้อมูลการชำระเงิน

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญขโมยข้อมูลบัตรเครดิตที่แอบซ่อนและซับซ้อนซึ่งกำหนดเป้าหมายไปที่เว็บไซต์ WordPress โดยการฝัง JavaScript ที่เป็นอันตรายลงในตารางฐานข้อมูล สกิมเมอร์เหล่านี้จะหลีกเลี่ยงวิธีการตรวจจับแบบเดิมเพื่อขโมยข้อมูลการชำระเงินที่ละเอียดอ่อน ภัยคุกคามที่น่าตกใจนี้เน้นย้ำถึงกลวิธีที่เปลี่ยนแปลงไปซึ่งอาชญากรทางไซเบอร์ใช้ในการแสวงหาประโยชน์จากแพลตฟอร์มอีคอมเมิร์ซ

มัลแวร์สกิมมิงทำงานอย่างไร

ผู้ดูแลเว็บไซต์ควรคอยระวัง JavaScript ที่เป็นอันตรายอยู่เสมอ เนื่องจากการโจมตีด้วยโปรแกรมสกิมเมอร์นี้อาจหลบซ่อนตัวอยู่ได้ โปรแกรมสกิมเมอร์จะกำหนดเป้าหมายเว็บไซต์อีคอมเมิร์ซของ WordPress โดยแทรก JavaScript ที่เป็นอันตรายลงในตาราง wp_options ภายใต้ตัวเลือก "widget_block" วิธีนี้ทำให้มัลแวร์ซ่อนตัวอยู่ในที่ที่มองเห็นได้ง่าย โดยหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยส่วนใหญ่ เมื่อฝังตัวแล้ว มัลแวร์จะใช้ประโยชน์จากอินเทอร์เฟซผู้ดูแลระบบของ WordPress เพื่อแทรก JavaScript ที่เป็นอันตรายลงในวิดเจ็ตบล็อก HTML

การเปิดใช้งานบนหน้าชำระเงิน

สคริปต์การสกิมข้อมูลจะเปิดใช้งานเฉพาะบนหน้าชำระเงินเท่านั้น โดยที่:

1. แฮ็กข้อมูลการชำระเงินที่มีอยู่ – แก้ไขข้อมูลที่ถูกต้องเพื่อสกัดกั้นข้อมูลการชำระเงิน
2. ฉีดแบบฟอร์มบัตรเครดิตปลอม – สร้างแบบฟอร์มการชำระเงินแบบไดนามิกที่เลียนแบบโปรเซสเซอร์จริง เช่น Stripe

แบบฟอร์มปลอมเหล่านี้จะจับข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรเครดิต CVV และข้อมูลการเรียกเก็บเงิน นอกจากนี้ สคริปต์ยังสามารถตรวจสอบแบบฟอร์มการชำระเงินที่ถูกต้องตามกฎหมาย โดยขโมยข้อมูลที่ป้อนแบบเรียลไทม์

การบดบังและการกรองข้อมูล

ข้อมูลที่ถูกขโมยจะถูกเข้ารหัสและเข้ารหัสเพื่อต้านทานการตรวจจับ:

• การเข้ารหัส Base64 : แปลงข้อมูลเป็นรูปแบบที่ดูไม่เป็นอันตราย
• การเข้ารหัส AES-CBC : เพิ่มชั้นการรักษาความปลอดภัยเพื่อหลีกเลี่ยงการวิเคราะห์
• การส่งข้อมูล : ส่งข้อมูลที่เข้ารหัสไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น valhafather[.]xyz หรือ fqbe23[.]xyz

การรณรงค์หลอกลวงที่กว้างขึ้น

การโจมตีนี้เกิดขึ้นตามหลังความพยายามในการขโมยข้อมูลแบบเดียวกัน รวมถึงการโจมตีที่ใช้มัลแวร์ JavaScript เพื่อสร้างแบบฟอร์มการชำระเงินปลอมแบบไดนามิกหรือดึงข้อมูลจากช่องชำระเงินที่ถูกต้อง ในกรณีนั้น ข้อมูลจะถูกเข้ารหัสโดยใช้เมธอด JSON และ XOR ก่อนที่จะส่งไปยังเซิร์ฟเวอร์ระยะไกล

เวกเตอร์การโจมตีเพิ่มเติม

ความซับซ้อนของแคมเปญเหล่านี้ขยายออกไปเกินขอบเขตของ WordPress:

• อีเมลฟิชชิ่งของ PayPal : ผู้ก่อภัยคุกคามส่งอีเมลจากที่อยู่ PayPal ที่ถูกกฎหมายเพื่อหลอกผู้ใช้ให้เข้าสู่ระบบและเชื่อมโยงบัญชีของพวกเขากับรายชื่อการแจกจ่ายที่ควบคุมโดยผู้โจมตี
• การใช้ประโยชน์จากกระเป๋าเงินสกุลเงินดิจิทัล : ผู้ก่ออาชญากรรมทางไซเบอร์ใช้ประโยชน์จากคุณสมบัติการจำลองธุรกรรมกระเป๋าเงิน Web3 เพื่อตั้งค่าแอปแบบกระจายอำนาจปลอม (DApps) และขโมยเงินจากกระเป๋าเงินในระหว่างขั้นตอนการดำเนินการ

การปกป้องเว็บไซต์และลูกค้าของคุณ

เพื่อปกป้องไซต์อีคอมเมิร์ซ WordPress จากภัยคุกคามเหล่านี้:

1. ตรวจสอบตารางฐานข้อมูลอย่างสม่ำเสมอ : เน้นที่ตาราง wp_options และรายการที่ไม่รู้จัก
2. อัปเดตและแพตช์ WordPress : ตรวจสอบให้แน่ใจว่าปลั๊กอินและธีมทั้งหมดได้รับการอัปเดตเพื่อลดช่องโหว่
3. ใช้ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) : บล็อกสคริปต์ที่เป็นอันตรายก่อนที่จะเข้าถึงฐานข้อมูลของคุณ
4. ตรวจสอบกิจกรรมแผงควบคุมผู้ดูแลระบบที่ผิดปกติ : ใส่ใจการเปลี่ยนแปลงในวิดเจ็ตและบล็อก HTML
5. ให้ความรู้ผู้ใช้ : เตือนลูกค้าเกี่ยวกับแบบฟอร์มการชำระเงินปลอมและความเสี่ยงจากอีเมลฟิชชิ่ง

วิวัฒนาการของโปรแกรมขโมยข้อมูลบัตรเครดิตที่กำหนดเป้าหมายเว็บไซต์ WordPress เน้นย้ำถึงความสำคัญของแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง การฝังโค้ดที่เป็นอันตรายลงในตารางฐานข้อมูลโดยตรงทำให้ตรวจจับแคมเปญเหล่านี้ได้ยากขึ้นและมีประสิทธิภาพมากขึ้นในการขโมยข้อมูลที่ละเอียดอ่อน เจ้าของเว็บไซต์ต้องเฝ้าระวังและดำเนินการเชิงรุกในการรักษาความปลอดภัยแพลตฟอร์มของตนเพื่อปกป้องทั้งธุรกิจและลูกค้าจากภัยคุกคามที่ซับซ้อนมากขึ้นเหล่านี้