ΑρχικήSecurityWordPress Skimmers κλέβουν πιστωτικές κάρτες μέσω κακόβουλου JavaScript

WordPress Skimmers κλέβουν πιστωτικές κάρτες μέσω κακόβουλου JavaScript

Οι ερευνητές κυβερνοασφάλειας προειδοποιούν για μια νέα κρυφή καμπάνια που πραγματοποιούν skimmers πιστωτικών καρτών, στοχεύει τις σελίδες ολοκλήρωσης αγοράς ηλεκτρονικού εμπορίου WordPress, εισάγοντας κακόβουλο κώδικα JavaScript σε έναν πίνακα βάσης δεδομένων που σχετίζεται με το σύστημα διαχείρισης περιεχομένου (CMS).

Δείτε επίσης: Το νέο Caesar Cipher Skimmer στοχεύει WordPress, Magento και OpenCart Sites

WordPress Skimmers JavaScript

Η εταιρεία ασφάλειας ιστοτόπων που ανήκει στην GoDaddy είπε ότι ανακάλυψε το κακόβουλο λογισμικό ενσωματωμένο στον πίνακα wp_options του WordPress με την επιλογή “widget_block“, επιτρέποντάς της έτσι να αποφύγει τον εντοπισμό από εργαλεία σάρωσης και να παραμείνει σε παραβιασμένους ιστότοπους χωρίς να τραβήξει την προσοχή. Η ιδέα είναι να εισάγει το κακόβουλο JavaScript σε ένα γραφικό στοιχείο μπλοκ HTML μέσω του πίνακα διαχείρισης του WordPress (wp-admin > widgets).

Advertisement

Ο κώδικας JavaScript λειτουργεί ελέγχοντας εάν η τρέχουσα σελίδα είναι σελίδα ολοκλήρωσης αγοράς και διασφαλίζει ότι ενεργοποιείται μόνο αφού ο επισκέπτης του ιστότοπου πρόκειται να εισάγει τα στοιχεία πληρωμής του, οπότε δημιουργεί δυναμικά μια ψευδή οθόνη πληρωμής που μιμείται τους νόμιμους επεξεργαστές πληρωμών όπως η Stripe.

Η φόρμα έχει σχεδιαστεί για να καταγράφει τους αριθμούς πιστωτικών καρτών των χρηστών, τις ημερομηνίες λήξης, τους αριθμούς CVV και τα στοιχεία χρέωσης. Εναλλακτικά, το κακόβουλο σενάριο είναι επίσης ικανό να καταγράφει δεδομένα που εισάγονται σε νόμιμες οθόνες πληρωμών σε πραγματικό χρόνο για να μεγιστοποιήσει τη συμβατότητα.

Τα κλεμμένα δεδομένα στη συνέχεια κωδικοποιούνται από το Base64 και συνδυάζονται με κρυπτογράφηση AES-CBC για να φαίνονται αβλαβή και να αντιστέκονται σε προσπάθειες ανάλυσης. Στο τελικό στάδιο, μεταδίδεται σε έναν διακομιστή που ελέγχεται από τον εισβολέα (“valhafather[.]xyz” ή “fqbe23[.]xyz“).

Δείτε ακόμα: BidenCash: Προσφέρει δωρεάν 1,9 εκατ. κλεμμένες πιστωτικές κάρτες

H καμπάνια των WordPress Skimmers έρχεται περισσότερο από ένα μήνα αφότου η Sucuri τόνισε μια παρόμοια καμπάνια που αξιοποίησε κακόβουλο λογισμικό JavaScript για να δημιουργήσει δυναμικά ψεύτικες φόρμες πιστωτικών καρτών ή να εξάγει δεδομένα που έχουν καταχωριστεί σε πεδία πληρωμής στις σελίδες ολοκλήρωσης αγοράς.

Στη συνέχεια, οι πληροφορίες που συλλέγονται υποβάλλονται σε τρία επίπεδα συσκότισης, κωδικοποιώντας τις πρώτα ως JSON, κρυπτογραφώντας τις με XOR με το κλειδί “script” και τέλος, χρησιμοποιώντας κωδικοποίηση Base64, πριν από την εξαγωγή σε έναν απομακρυσμένο διακομιστή (“staticfonts[.]com “).

Η αποκάλυψη ακολουθεί επίσης την ανακάλυψη μιας καμπάνιας ηλεκτρονικού phishing με οικονομικά κίνητρα που εξαπατά τους παραλήπτες να κάνουν κλικ στις σελίδες σύνδεσης στο PayPal υπό το πρόσχημα μιας εκκρεμούς αίτησης πληρωμής ύψους σχεδόν 2.200 $. Αυτό που κάνει την καμπάνια ύπουλη είναι το γεγονός ότι τα μηνύματα προέρχονται από μια νόμιμη διεύθυνση PayPal (service@paypal.com) και περιέχουν μια γνήσια διεύθυνση URL σύνδεσης, η οποία επιτρέπει στα email να περάσουν από τα εργαλεία ασφαλείας.

Για να γίνουν τα πράγματα χειρότερα, μόλις το θύμα επιχειρήσει να συνδεθεί στον λογαριασμό του στο PayPal σχετικά με το αίτημα πληρωμής, ο λογαριασμός του συνδέεται αυτόματα με τη διεύθυνση email της λίστας διανομής, επιτρέποντας στον κακόβουλο παράγοντα να παραβιάσει τον έλεγχο του λογαριασμού.

Τις τελευταίες εβδομάδες, κακόβουλοι παράγοντες έχουν επίσης παρατηρηθεί να χρησιμοποιούν μια νέα τεχνική που ονομάζεται πλαστογράφηση προσομοίωσης συναλλαγών για να κλέψουν κρυπτονομίσματα από πορτοφόλια θυμάτων.

Δείτε επίσης: BidenCash: Προσφέρει δωρεάν 1.221.551 κλεμμένες πιστωτικές κάρτες

Η JavaScript είναι μια ισχυρή γλώσσα προγραμματισμού που χρησιμοποιείται συχνά για να βελτιώσει τη λειτουργικότητα και τη διαδραστικότητα των ιστότοπων. Ωστόσο, μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία κακόβουλου κώδικα που στοχεύει στην πρόκληση βλάβης ή την κλοπή ευαίσθητων πληροφοριών, όπως στην περίπτωση των WordPress Skimmers. Ο κακόβουλος κώδικας JavaScript μπορεί να περιλαμβάνει σενάρια που έχουν σχεδιαστεί για την εκτέλεση μη εξουσιοδοτημένων ενεργειών, όπως η κλοπή cookie, η ανακατεύθυνση των χρηστών σε επιβλαβείς ιστότοπους ή η εκτέλεση επιθέσεων μεταξύ ιστότοπων scripting (XSS). Για την προστασία από αυτές τις απειλές, οι προγραμματιστές θα πρέπει να χρησιμοποιούν ασφαλείς πρακτικές κωδικοποίησης, να εφαρμόζουν Πολιτικές Ασφάλειας Περιεχομένου (CSP) και να διασφαλίζουν ότι τα στοιχεία των χρηστών γίνονται sanitized σωστά.

Πηγή: thehackernews

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS