Веб-майстри, увага! Скімери WordPress використовують таблиці бази даних, щоб викрасти платіжну інформацію

Експерти з кібербезпеки виявили приховану та складну кампанію скимінгу кредитних карток, націлену на веб-сайти WordPress. Вбудовуючи шкідливий JavaScript у таблиці бази даних, ці скімери обходять традиційні методи виявлення для викрадення конфіденційної платіжної інформації. Ця тривожна загроза підкреслює тактику, яку кіберзлочинці використовують для використання платформ електронної комерції.

Як працює шкідливе програмне забезпечення для скімінгу

Веб-майстрам слід завжди стежити за шкідливим JavaScript, оскільки використання скімера може бути непоміченим. Скімери націлені на веб-сайти електронної комерції WordPress, впроваджуючи шкідливий JavaScript у таблицю wp_options під опцією «widget_block». Цей метод дозволяє зловмисному програмному забезпеченню сховатися на виду, уникаючи виявлення більшістю інструментів безпеки. Після вбудовування зловмисне програмне забезпечення використовує переваги адміністративного інтерфейсу WordPress, щоб вставити шкідливий JavaScript у віджети блоку HTML.

Активація на сторінках Checkout

Сценарій skimming активується лише на сторінках оформлення замовлення, де він:

1. Викрадає існуючі платіжні поля – змінює законні поля для перехоплення платіжних даних.
2. Впроваджує підроблені форми кредитної картки – динамічно створює платіжну форму, яка імітує справжні процесори, такі як Stripe.

Ці підроблені форми містять конфіденційну інформацію, як-от номери кредитних карток, CVV та платіжну інформацію. Крім того, скрипт може контролювати законні платіжні форми, викрадаючи дані, введені в режимі реального часу.

Обфускація та ексфільтрація

Викрадені дані кодуються та шифруються, щоб не виявити:

• Кодування Base64 : перетворює дані в нешкідливий формат.
• Шифрування AES-CBC : додає рівень безпеки, щоб уникнути аналізу.
• Передача даних : надсилає закодовану інформацію на контрольовані зловмисниками сервери, такі як valhafather[.]xyz або fqbe23[.]xyz .

Широка кампанія обману

Ця атака є результатом подібних зусиль скимінгу, включно з тим, коли зловмисне програмне забезпечення JavaScript використовувалося для динамічного створення підроблених платіжних форм або вилучення даних із законних полів оформлення замовлення. У цьому випадку дані були зашифровані за допомогою методів JSON і XOR перед надсиланням на віддалений сервер.

Додаткові вектори атак

Складність цих кампаній виходить за межі WordPress:

• Фішингові електронні листи PayPal : зловмисники надсилають електронні листи з законних адрес PayPal, щоб обманом змусити користувачів увійти в систему та зв’язати їхні облікові записи зі списками розсилки, контрольованими зловмисниками.
• Експлойти криптовалютного гаманця : кіберзлочинці використовують функції моделювання транзакцій гаманця Web3, щоб налаштовувати підроблені децентралізовані програми (DApps) і вичерпувати гаманці на етапі виконання.

Захист вашого сайту та клієнтів

Щоб захистити сайти електронної комерції WordPress від цих загроз:

1. Регулярно перевіряйте таблиці бази даних : зосередьтеся на таблиці wp_options і невідомих записах.
2. Оновлення та виправлення WordPress : переконайтеся, що всі плагіни та теми оновлені, щоб зменшити вразливі місця.
3. Впровадження брандмауерів веб-додатків (WAF) : блокуйте шкідливі сценарії до того, як вони досягнуть вашої бази даних.
4. Монітор аномальної активності панелі адміністратора : зверніть увагу на зміни у віджетах і блоках HTML.
5. Навчайте користувачів : попереджайте клієнтів про підроблені платіжні форми та ризики фішингових електронних листів.

Еволюція скіммерів кредитних карток, націлених на веб-сайти WordPress, підкреслює важливість надійних методів кібербезпеки. Завдяки вбудовуванню зловмисного коду безпосередньо в таблиці бази даних ці кампанії важче виявити та ефективніше викрадати конфіденційні дані. Власники веб-сайтів повинні залишатися пильними та активними у захисті своїх платформ, щоб захистити як свій бізнес, так і своїх клієнтів від цих дедалі складніших загроз.