A hackerek egy WordPress bővítményt használnak ki ahhoz, hogy rosszindulatú PHP kódot illesszenek online értékesítési platformokra és ezzel a módszerrel megszerezzék a vásárlók hitelkártya adatait.
A szakértők szerint ebben a kampányban a támadók a Dessky Snippets elnevezésű WordPress bővítményt használják ki, amely lehetővé teszi a felhasználók számára, hogy könnyen adjanak az oldalukhoz egyéni PHP-kódot a WordPress admin felületéről.
A szakértők szerint, ezt a rosszindulatú kódot a WordPress wp_options táblájának dnsp_settings beállításába mentették, és úgy tervezték meg, hogy módosítsa a WooCommerce fizetési folyamatát az weboldal manipulálásával.
Ez a malware két fő részből áll. Az első része egy twentytwenty_get_post_logos() nevű hamis függvényt használ ahhoz, hogy csatlakozzon a WooCommerce fizetési oldalhoz. A függvény további mezőket ad a felülethez, így a szokásosnál korábban kéri el a hitelkártya adatokat.
A második rész egy obfuszkált hitelkártya skimmert tartalmaz, amely figyeli a POST adatokat bizonyos paraméterek szempontjából. Amikor a malware észleli ezeket a paramétereket, elküldi az összes összegyűjtött számlázási-, és hitelkártya-információt egy harmadik fél URL-jére hxxps://2of[.] cc/wp-content/.
A kutatók észrevették, hogy a támadók által használt fizetési oldalon le van tiltva az automatikus kiegészítés funkció és a mezők az autocomplete=”off” értékkel vannak beállítva.
Az automatikus kitöltési funkció letiltása egy olyan trükk a hackerek részéről, mellyel csökkentik az esélyét annak, hogy a böngésző figyelmeztesse a felhasználókat az érzékeny adatok megadására. A mezők mindaddig üresen maradnak, amíg manuálisan ki nem töltik őket. Mivel rendszeres, a tranzakcióhoz szükséges adatbevitelnek tűnik, a felhasználókat meg tudják téveszteni vele.
Itt egy egyszerű iránymutatás arról, hogy tudjuk biztonságosabbá tenni az online áruházakat:
- Folyamatosan frissítsük a szoftvert: frissítsük a CMS-t, a beépülő modulokat a sebezhetőségek javítása érdekében
- Használjuk erős jelszavakat: győződjünk meg arról, hogy minden fiók (rendszer adminisztrátori fiók, sFTP, adatbázis hitelesítő) erős és egyedi jelszóval rendelkezik
- Megbízható szkripteket válasszunk: csak megbízható forrásból származó JavaScriptet integráljunk
- Rendszeresen ellenőrizzük a weboldalt: figyeljünk arra, hogy nincsenek-e rosszindulatú programokra utaló jelek, jogosulatlan módosítások, vagy bármilyen kompromittálódásra utaló jelek
- Használjunk tűzfalat: a tűzfal blokkolja a rosszindulatú botokat, javíthatja az ismert biztonsági réseket, és kiszűrheti a káros forgalmat
- Állítsunk be egy CSP-t (Content Security Policy): alakítsunk ki egy tartalombiztonsági szabályzatot, mely segít megvédeni a weboldalt és a webalkalmazást a clickjacking-, a webhelyek közötti parancsfájlok futtatása (XSS)-, és más típusú támadásoktól.