Wtyczka WordPress wykorzystywana do instalowania e-skimmerów w sklepach internetowych
Badacze z firmy Sucuri odkryli, że cyberprzestępcy wykorzystują wtyczkę WordPress do wstawiania złośliwego kodu PHP w sklepach internetowych i kradną danych kart kredytowych. W kampanii dostrzeżonej przez ekspertów atakujący używają mało znanej wtyczki WordPress o nazwie Dessky Snippets, która w momencie pisania artykułu miała tylko kilkaset aktywnych instalacji. Dessky Snippets to lekka i prosta wtyczka, która umożliwia użytkownikom łatwe dodawanie niestandardowego kodu PHP z panelu administracyjnego WordPressa. Kampania miała miejsce 11 maja, a badacze zauważyli wzrost liczby pobrań wtyczki Dessky Snippets od tego samego dnia. Obecnie wtyczka ma ponad 200 aktywnych instalacji.
Atakujący wykorzystali wtyczkę Dessky Snippets do wstawienia e-skimmera na serwerze. „Ten złośliwy kod był zapisywany w opcji dnsp_settings w tabeli wp_options WordPressa i miał na celu modyfikację procesu realizacji zamówienia w WooCommerce poprzez manipulowanie formularzem rozliczeniowym i wstrzykiwanie własnego kodu” – czytamy w analizie opublikowanej przez Sucuri.
Złośliwe oprogramowanie ma dwie główne składowe. Pierwsza część wykorzystuje fałszywą funkcję o nazwie „twentytwenty_get_post_logos()”, aby podpiąć się pod formularz rozliczeniowy WooCommerce. Funkcja dodaje dodatkowe pola do formularza rozliczeniowego, które wcześniej niż zwykle proszą o dane karty kredytowej. Druga część obejmuje zaszyfrowany e-skimmer kart kredytowych, który monitoruje dane POST pod kątem konkretnych parametrów. Gdy złośliwe oprogramowanie wykryje te parametry, wysyła wszystkie zebrane dane rozliczeniowe i karty kredytowej do adresu URL strony trzeciej „hxxps://2of[.]cc/wp-content/”.
Badacze zauważyli, że formularz rozliczeniowy związany z overlayem, używanym przez atakujących, ma wyłączoną funkcję autouzupełniania. Pola mają ustawiony atrybut autocomplete=”off”.
Wyłączenie funkcji autouzupełniania w fałszywym formularzu rozliczeniowym to sztuczka unikająca ostrzeżeń przeglądarki użytkowników o wprowadzaniu wrażliwych informacji. Pola pozostają puste do ręcznego wypełnienia, co sprawia, że wyglądają jak zwykłe, niezbędne pola do przeprowadzenia transakcji i zmniejsza podejrzenia użytkowników.
„W zasadzie, sklepy internetowe są głównym celem hakerów ze względu na cenne dane, którymi się zajmują” – podsumowuje raport. „Oto prosty przewodnik, jak chronić swój sklep internetowy:
Regularnie aktualizuj oprogramowanie: Regularnie aktualizuj CMS, wtyczki, motywy i wszelkie komponenty pochodzące od stron trzecich, aby łatać podatności.
Używaj silnych haseł: Upewnij się, że wszystkie konta, w tym administracyjne, sFTP i dane dostępu do bazy danych, mają silne i unikalne hasła.
Wybieraj zaufane skrypty: Integruj jedynie skrypty JavaScript od wiarygodnych źródeł. Unikaj zbędnych skryptów stron trzecich.
Monitoruj zagrożenia: Regularnie sprawdzaj swoją stronę pod kątem obecności złośliwego oprogramowania, nieautoryzowanych zmian lub innych oznak naruszenia.
Zainstaluj zaporę ogniową: Użyj zapory aplikacji internetowej, aby blokować złośliwe boty, wirtualnie łatać znane podatności i filtrować szkodliwy ruch.
Ustaw CSP: Ustal zasadę bezpieczeństwa treści (CSP), aby chronić przed clickjackingiem, skryptami międzywitrynowymi (XSS) i innymi zagrożeniami.”
Źródło: Security Affairs (tłumaczenie własne)