- Sucuri обнаружил вредоносный код, встроенный в сайты WordPress
- Код собирает и извлекает платежную информацию с веб-сайтов электронной коммерции.
- Исследователи предупреждают администраторов сайтов WordPress о необходимости проверки всего пользовательского кода.
Киберпреступники снова атакуют веб-сайты WordPress с помощью скиммеров кредитных карт, крадя конфиденциальную платежную информацию жертв.
На этот раз компания бьет тревогу: Сукури, чей исследователь Пуджа Шривастава недавно опубликовал новый анализ атаки и обнаружил, что преступники нацелены на сайты электронной коммерции WordPress, вставляя вредоносный код JavaScript в таблицу базы данных, связанную с системой управления контентом ( CMS) связан. .
Этот сценарий вызывает скиммер кредитной карты в тот момент, когда жертва собирается ввести платежную информацию.
«Вредоносное ПО специально активируется на страницах оформления заказа путем захвата существующих платежных полей или внедрения поддельной формы кредитной карты», — сказал исследователь.
Безымянный скиммер предназначен для кражи всей платежной информации, необходимой для интернет-транзакций: номеров кредитных карт, сроков действия, номеров CVV и платежной информации.
Киберпреступники обычно используют украденные данные кредитных карт для финансирования вредоносных рекламных кампаний на платформах социальных сетей, приобретения вредоносного ПО или вредоносного ПО как услуги (MaaS) или приобретения подарочных карт, поскольку их трудно отследить.
Сукури добавил, что скиммер также может захватывать данные, вводимые на законных платежных экранах, в режиме реального времени, что обеспечивает максимальную совместимость.
Вся собранная информация кодируется в Base64 и сочетается с шифрованием AES-CBC, чтобы слиться с обычным трафиком. Затем он передается на сервер, находящийся под контролем злоумышленника (либо «valhafather[.]xyz» или «fqbe23[.]хыз»).
Чтобы удалить вредоносное ПО, Sucuri рекомендует проверить все пользовательские HTML-виджеты. Вы можете сделать это, войдя в панель администратора WordPress, перейдя в wp-admin > Внешний вид > Виджеты и проверив все пользовательские виджеты блоков HTML на наличие подозрительных или неизвестных тегов. Исследователи также предложили средства защиты, включающие регулярные обновления, управление учетными записями администратора, мониторинг целостности файлов и запуск брандмауэра веб-приложений.
Судя по всему, скиммеры снова пользуются растущей популярностью. Менее трех недель назад было обнаружено, что Европейское космическое агентство размещает такой вредоносный код, который крадет платежные данные, включая конфиденциальную информацию о кредитных картах, у бесчисленных жертв.
Вам также может понравиться это
