کمیته رکن چهارم – محققان شرکت امنیتی Sucuri اخیرا یک بدافزار جدید وردپرسی را شناسایی کرده اند که مهاجمان سایبری از آن برای اسکن و شناسایی فروشگاه های آنلاین WooCommerce (با سقف مشتریان بالا) استفاده می کنند. محققان امنیتی این احتمال را می دهند که هکرها در آینده نزدیک حملات Magecart را بر روی این وب سایت ها انجام خواهند داد. WooCommerce یک افزونه وردپرس منبع باز است و بیش از ۵ میلیون نصب فعال دارد. این افزونه به گونه ای طراحی شده که فرآیندهای کاری سایت های فروشگاهی را آسان تر می کند .
حمله به فروشگاه های آنلاین WooCommerce مشکل جدیدی نیست و بارها این اتفاقات افتاده است. حملات Magecart شامل سرقت رمزهای ادمین با هدف برداشت کارتهای اعتباری (با نام حمله های Magecart) از فروشگاه های آنلاین است که تقریبا دوسال پیش توسط متخصصان امنیتی شناسایی شد.
افزونه های دارای باگ معمولا راه حل مناسبی برای هکرها بوده اند و عمدتا در سایت های فروشگاهی این مخاطره بیشتر خودنمایی میکند. هکرها برای هک شدن وب سایت های فروشگاهی بر پایه WooCommerce و تزریق بدافزار در آنها از آسیب پذیری های امنیتی موجود در سایر افزونه های وردپرس نیز بهره می برند.
Luke Leal محقق بدافزار توضیح می دهد: “توجه به این نکته مهم است که به طور پیش فرض، افزونه WooCommerce اطلاعات کارت پرداخت را ذخیره نمی کند – مهاجمان سایبری نمی توانند به سادگی جزئیات حساس پرداخت را از پایگاه داده WordPress سرقت کنند.”
از این اسکریپت برای اسکن اهدافی در وردپرس، اتصال به پایگاه داده های آنها و مشاهده اطلاعات WooCommerce استفاده می شود.همچنین اعتبارنامه پایگاه داده MySQL را استخراج می کند
این فرآیند به مهاجم اجازه می دهد تا به پایگاه داده وردپرس فروشگاه دسترسی پیدا کرده و SQL طراحی شده را مشاهده کند. اطلاعاتی که از WooCommerce جمع آوری می شود شامل تعداد کل سفارشات و پرداخت های فروشگاه و … است.
شناسایی Magecart
یکی از این کمپین های Magecart که فقط فروشگاه های WooCommerce را هدف قرار می دهد، یک ماه پیش توسط تیم امنیتی Sucuri شناسایی شد.
“این بدافزار نمونه بسیار مناسبی است تا مدیران وب سایت ها و متخصصان امنیتی درک عمیق تری از دسترسی های غیرمجاز در محیط های میزبان به خطر افتاده داشته باشند.”
“همچنین نشان می دهد که چگونه یک منبع آلودگی درون سایت ایجاد شده و باعث ایجاد چندین در بکدور در دایرکتوری های خارج از فهرست وب سایت آلوده می شود.”
منبع: ایران سایبر
