مرکز ماهر هشدار داد
کشف کلاهبرداری جدید در وبسایتهای وردپرس
مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کردهاند را دریافت میکنند، درحالیکه در پسزمینه جنایتکاران دادههای لازم را بهمنظور کلاهبرداری کارت ضبط کردهاند. این حملات معمولا تا زمانی که قربانی دارنده کارت شکایتی نکند، شناسایی نمیشود. کارشناسان شرکت امنیتی Sucuri، یک نرمافزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است. این نرمافزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیبپذیریهای افزونه WooCommerce به کار گرفته میشود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستمفایل استفاده میکنند و اطلاعات پرداختی درون تنظیمات افزونه WooCommerce را تغییر میدهند. اغلب تزریقهای کد جاوااسکریپت، در انتهای فایل قانونی / wp-includes/ js/ jquery/ jquery.js است (روش موثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict تزریق شده است.
بخشی از اسکریپتی که اطلاعات کارت را ضبط میکند، در فایل «./ wp-includes/ rest-api/ class-wp-rest-api.php» تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیرهسازی آنها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه wp-content/ uploads نگهداری میشوند، استفاده میکند. این بدافزار مخرب جزئیات پرداخت را جمعآوری میکند و شماره کارت و کد امنیتی CVV را بهصورت ابرمتن در قالب کوکی ذخیره میکند. در زمان تجزیه و تحلیل، هیچیک از این دو فایل حاوی اطلاعات سرقتی نبودهاند؛ شرایطی که نشان میدهد پس از بهدست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایلها است.
همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در تلاش برای جلوگیری از شناساییشدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده میشود. تنها نشانه بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاریشدن کد مخرب اضافه شده بود. اگر این حملات علیه سایتهای تجارت الکترونیک کوچکتر باشد، معمولا تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسانتر است. متاسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحله اول وارد سایت شدهاند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیبپذیری نرمافزار در WordPress یا WooCommerce این امر میسر شده است.
تمامی فروشگاههای تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را از طریق تغییر در نامکاربری پیشفرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همچنین با استفاده از یک گذرواژه قوی، انجام داده است. علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احراز هویت دوعاملی، بهروزرسانی WordPress و افزونه WooCommerce هم مهم است.
همچنین متخصصان Sucuri به مدیران وبسایتهای WordPress توصیه میکنند که ویرایش مستقیم فایل را برای wp-admin با اضافهکردن خط define (‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.