Сукури идентифицировала вредоносный код на сайтах WordPress
- Код нацелен на сбор и вывоз платёжной информации с сайтов электронной коммерции
- Исследователи предупреждают администраторов сайтов WordPress о необходимости проверки всего пользовательского кода
Киберпреступники снова атакуют сайты WordPress, используя системы для считывания данных кредитных карт, чтобы украсть чувствительную платёжную информацию пользователей.
На этот раз тревогу забила компания Sucuri. Исследователь Пуджа Шривастава опубликовала новый анализ атаки, указав на то, что злоумышленники нацелены на сайты электронной коммерции на WordPress. Они внедряют вредоносный JavaScript-код в таблицу базы данных, связанную с системой управления контентом (CMS).
Этот скрипт активирует вредоносное ПО именно в тот момент, когда пользователь собирается ввести платёжные данные.
«Вредоносное ПО активируется на страницах оформления заказа, либо перехватывая существующие поля для оплаты, либо вставляя поддельную форму для ввода данных кредитной карты,» — отметила исследователь.
Неизвестное вредоносное ПО создано для кражи всей необходимой для интернет-транзакций платёжной информации: номера кредитных карт, даты истечения срока действия, CVV-кодов и данных о плательщике.
Киберпреступники, как правило, используют украденные данные кредитных карт для финансирования злонамеренных рекламных кампаний на социальных платформах, покупки вредоносного ПО или услуг а также для приобретения подарочных карт, которые трудно отследить.
Сукури также отмечает, что вредоносное ПО может в реальном времени перехватывать данные, вводимые на легитимных платёжных страницах, тем самым максимизируя совместимость.
Вся собранная информация кодируется в Base64 и шифруется с использованием AES-CBC, чтобы не выделяться на общем потоке трафика. После этого она передаётся на сервер, находящийся под контролем злоумышленников.
Для удаления вредоносного ПО Sucuri рекомендует внимательно изучить все пользовательские HTML-виджеты. Это можно сделать, войдя в панель администрирования WordPress, перейдя в wp-admin > Appearance > Widgets и проверив все пользовательские HTML-блоки на наличие подозрительных тегов. Исследователи предлагают шаги по минимизации рисков, включая регулярные обновления, управление учётными записями администраторов, мониторинг целостности файлов и использование межсетевого экрана приложения.
Наблюдается рост популярности использования вредоносных скриптов. Менее трёх недель назад в Европейском космическом агентстве был обнаружен аналогичный вредоносный код, который крал платёжные данные, включая конфиденциальную информацию о кредитных картах у многочисленных жертв.
Источник: TechRadar
