کشف کلاهبرداری جدید در وب‌سایت‌های وردپرس

حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده و شرکت‌های تجاری بزرگی که از بستر Magento استفاده می‌کنند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، آسیب دیده‌اند.

هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستم‌های پرداختی و به‌دست آوردن اطلاعات کارت اعتباری زمان واردکردن آن‌ها توسط مشتری است.

مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کرده‌اند را دریافت می‌کنند، در حالی که در پس‌زمینه مجرمان داده‌های لازم را به‌منظور کلاهبرداری کارت ضبط کرده‌اند.

این حملات معمولاً تا زمانی که قربانی دارنده‌ کارت شکایتی نکند، شناسایی نمی‌شود.

کارشناسان شرکت امنیتی Sucuri، یک نرم‌افزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است.

این نرم‌افزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیب‌پذیری‌های افزونه‌ WooCommerce به کار گرفته می‌شود.

مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستم‌فایل استفاده می‌کنند و اطلاعات پرداختی درون تنظیمات افزونه‌ WooCommerce را تغییر می‌دهند.

اغلب تزریق‌های کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله‌ جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict تزریق شده است.

بخشی از اسکریپتی که اطلاعات کارت را ضبط می‌کند، در فایل  «./wp-includes/rest-api/class-wp-rest-api.php» تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیره‌سازی آن‌ها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه‌ wp-content/uploads نگهداری می‌شوند، استفاده می‌کند. این بدافزار مخرب جزئیات پرداخت را جمع‌آوری می‌کند و شماره کارت و کد امنیتی CVV را به صورت متن در قالب کوکی ذخیره می‌کند.

متأسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحله‌ اول وارد سایت شده‌اند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیب‌پذیری نرم‌افزار در WordPress یا WooCommerce این امر میسر شده است.

علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احراز هویت دوعاملی، به‌روزرسانی WordPress و افزونه WooCommerce هم مهم است.

همچنین متخصصان Sucuri به مدیران وب‌سایت‌های WordPress توصیه می‌کنند که ویرایش مستقیم فایل را برای wp-admin با اضافه‌کردن خط define ( ‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.