Webmaster hãy cẩn thận! WordPress Skimmer khai thác bảng cơ sở dữ liệu để đánh cắp thông tin thanh toán

Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch skimming thẻ tín dụng tinh vi và lén lút nhắm vào các trang web WordPress. Bằng cách nhúng JavaScript độc hại vào các bảng cơ sở dữ liệu, những skimmer này bỏ qua các phương pháp phát hiện truyền thống để đánh cắp thông tin thanh toán nhạy cảm. Mối đe dọa đáng báo động này nhấn mạnh các chiến thuật đang phát triển mà tội phạm mạng sử dụng để khai thác các nền tảng thương mại điện tử.

Phần mềm độc hại Skimming hoạt động như thế nào

Các quản trị viên web nên luôn cảnh giác với JavaScript có hại vì khai thác skimmer này có thể là một khai thác không được chú ý. Skimmer nhắm mục tiêu vào các trang web thương mại điện tử WordPress bằng cách đưa JavaScript độc hại vào bảng wp_options theo tùy chọn "widget_block". Phương pháp này cho phép phần mềm độc hại ẩn mình ở nơi dễ thấy, tránh bị phát hiện bởi hầu hết các công cụ bảo mật. Sau khi nhúng, phần mềm độc hại sẽ lợi dụng giao diện quản trị của WordPress để đưa JavaScript độc hại vào các tiện ích khối HTML.

Kích hoạt trên trang thanh toán

Mã lệnh skimming chỉ kích hoạt trên các trang thanh toán, tại đó:

1. Chiếm đoạt các trường thanh toán hiện có – Sửa đổi các trường hợp lệ để chặn dữ liệu thanh toán.
2. Chèn biểu mẫu thẻ tín dụng giả – Tự động tạo biểu mẫu thanh toán mô phỏng các bộ xử lý thực như Stripe.

Các biểu mẫu giả mạo này thu thập các thông tin chi tiết nhạy cảm như số thẻ tín dụng, CVV và thông tin thanh toán. Ngoài ra, tập lệnh có thể theo dõi các biểu mẫu thanh toán hợp pháp, đánh cắp dữ liệu được nhập theo thời gian thực.

Làm tối nghĩa và thẩm thấu

Dữ liệu bị đánh cắp được mã hóa và mã hóa để chống phát hiện:

• Mã hóa Base64 : Chuyển đổi dữ liệu sang định dạng có vẻ vô hại.
• Mã hóa AES-CBC : Thêm một lớp bảo mật để tránh bị phân tích.
• Truyền dữ liệu : Gửi thông tin được mã hóa đến các máy chủ do kẻ tấn công kiểm soát như valhafather[.]xyz hoặc fqbe23[.]xyz .

Một chiến dịch lừa dối rộng lớn hơn

Cuộc tấn công này theo sau những nỗ lực skimming tương tự, bao gồm một cuộc tấn công mà phần mềm độc hại JavaScript được sử dụng để tạo động các biểu mẫu thanh toán giả hoặc trích xuất dữ liệu từ các trường thanh toán hợp lệ. Trong trường hợp đó, dữ liệu được mã hóa bằng các phương pháp JSON và XOR trước khi được gửi đến máy chủ từ xa.

Các vectơ tấn công bổ sung

Sự tinh vi của những chiến dịch này không chỉ giới hạn ở WordPress:

• Email lừa đảo PayPal : Kẻ tấn công gửi email từ các địa chỉ PayPal hợp pháp để lừa người dùng đăng nhập và liên kết tài khoản của họ với danh sách phân phối do kẻ tấn công kiểm soát.
• Khai thác ví tiền điện tử : Tội phạm mạng khai thác các tính năng mô phỏng giao dịch ví Web3 để thiết lập các ứng dụng phi tập trung (DApp) giả mạo và rút tiền trong ví trong giai đoạn thực hiện.

Bảo vệ trang web và khách hàng của bạn

Để bảo vệ các trang thương mại điện tử WordPress khỏi những mối đe dọa này:

1. Kiểm tra thường xuyên các bảng cơ sở dữ liệu : Tập trung vào bảng wp_options và các mục không xác định.
2. Cập nhật và vá lỗi WordPress : Đảm bảo tất cả plugin và chủ đề đều được cập nhật để giảm thiểu lỗ hổng.
3. Triển khai Tường lửa ứng dụng web (WAF) : Chặn các tập lệnh độc hại trước khi chúng xâm nhập vào cơ sở dữ liệu của bạn.
4. Theo dõi hoạt động bất thường của bảng quản trị : Chú ý đến những thay đổi trong các tiện ích và khối HTML.
5. Giáo dục người dùng : Cảnh báo khách hàng về các hình thức thanh toán giả mạo và rủi ro từ email lừa đảo.

Sự phát triển của các chương trình skimmer thẻ tín dụng nhắm vào các trang web WordPress làm nổi bật tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ. Bằng cách nhúng mã độc trực tiếp vào các bảng cơ sở dữ liệu, các chiến dịch này khó bị phát hiện hơn và hiệu quả hơn trong việc đánh cắp dữ liệu nhạy cảm. Chủ sở hữu trang web phải luôn cảnh giác và chủ động trong việc bảo mật nền tảng của mình để bảo vệ cả doanh nghiệp và khách hàng của họ khỏi các mối đe dọa ngày càng tinh vi này.