Hackers στοχεύουν WooCommerce sites με ένα ειδικό JavaScript-based card-skimmer malware, το οποίο επιτρέπει την κλοπή στοιχείων των πιστωτικών καρτών, χωρίς να χρειάζεται να γίνει ανακατεύθυνση των πληρωμών σε λογαριασμούς, που ελέγχονται από τους hackers.
Το WooCommerce είναι ένα δωρεάν, open-source WordPress plugin που χρησιμοποιείται σε περισσότερα από 5 εκατομμύρια sites και διευκολύνει το ηλεκτρονικό εμπόριο.
Δεν είναι η πρώτη φορά που τα WooCommerce e-shops εμπλέκονται σε επιθέσεις κλοπής πιστωτικών καρτών (επίσης γνωστές ως Magecart επιθέσεις), όπως δήλωσε ο Willem de Groot της Sanguine Security. Τον Αύγουστο του 2018 κάποιοι hackers προσπάθησαν να παραβιάσουν WooCommerce sites χρησιμοποιώντας την τεχνική του brute-forcing για την ανακάλυψη των κωδικών πρόσβασης των διαχειριστών.
“Φυσικά, τα WooCommerce και άλλα WordPress-based sites ηλεκτρονικού εμπορίου έχουν αποτελέσει στόχο των hackers στο παρελθόν, αλλά περιορίζονταν συνήθως σε τροποποιήσεις των στοιχείων πληρωμής”, εξήγησε ο Ben Martin της Sucuri.
“Για παράδειγμα, οι hackers προωθούσαν τις πληρωμές στο PayPal email του εισβολέα αντί για το λογαριασμό του νόμιμου κατόχου του site. Αυτό που βλέπουμε τώρα είναι κάτι αρκετά νέο”.
Νέα card skimming προσέγγιση
Η επίθεση ανακαλύφθηκε από τον Martin μετά τις αναφορές πολλών χρηστών WordPress και WooCommerce sites, σχετικά με δόλιες συναλλαγές μέσω πιστωτικών καρτών.
Ένας έλεγχος όλων των core files των ηλεκτρονικών καταστημάτων που επηρεάστηκαν, αποκάλυψε αρχεία με κακόβουλο κώδικα που προστέθηκαν στο τέλος των φαινομενικά αβλαβών φακέλων JavaScript.
“Το ίδιο το JavaScript είναι λίγο δύσκολο να κατανοηθεί, αλλά ένα πράγμα που είναι σαφές είναι ότι το skimmer αποθηκεύει τόσο τον αριθμό των πιστωτικών καρτών όσο και το CVV (κωδικός ασφαλείας κάρτας) σε απλό κείμενο με τη μορφή cookies“, δήλωσε ο Martin.
“Όπως συμβαίνει συνήθως σε PHP malware, χρησιμοποιούνται πολλά επίπεδα κωδικοποίησης σε μια προσπάθεια να αποφευχθεί η ανίχνευση και να κρυφτεί ο βασικός κώδικας”.
Αυτό που κάνει αυτή την επίθεση να ξεχωρίζει είναι ότι οι επιτιθέμενοι πίσω από αυτό, συμπεριέλαβαν το JavaScript card skimmer στα core files του site αντί να το φορτώσουν από τρίτο site που βρίσκεται υπό τον έλεγχό τους (αυτό συμβαίνει συνήθως στις επιθέσεις που στοχεύουν στην κλοπή στοιχείων πιστωτικών καρτών).
Το skimmer καθαρίζει τα ίχνη του
Τα κλεμμένα στοιχεία των πιστωτικών καρτών αποθηκεύονται σε δύο αρχεία εικόνας που είναι αποθηκευμένα στο wp-content / uploads directory.
Ωστόσο, όπως ανακάλυψε ο Martin, το skimmer είχε τη δυνατότητα να καλύπτει τα ίχνη του, καθώς τα αρχεία είχαν αδειάσει όταν ξεκίνησε η ανάλυση των παραβιασμένων sites.
Ενώ συνήθως το σημείο εισόδου που χρησιμοποιούν οι επιτιθέμενοι για να μολύνουν ένα WooCommerce ή ένα άλλο site ηλεκτρονικού εμπορίου, είναι εύκολο να εντοπιστεί, αυτή τη φορά δεν ήταν τόσο προφανές.
“Θα μπορούσε να ήταν ένας παραβιασμένος λογαριασμός διαχειριστή, ένας κωδικός SFTP ή κάποιο ευάλωτο λογισμικό”, πρόσθεσε ο Martin.
“Ένα πράγμα που θα συνιστούσα σε όλους τους ενδιαφερόμενους για την ασφάλεια του WooCommerce ή WordPress site τους είναι η απενεργοποίηση της άμεσης επεξεργασίας αρχείων προσθέτοντας την ακόλουθη γραμμή στο wp-config.php”, είπε ακόμα.