کمیته رکن چهارم – سارقان در روش جدید، سایتهای تجارت الکترونیکی وردپرس را که از افزونه WooCommerce استفاده میکنند با یک بدافزار skimmer اختصاصی کارت مبتنیبر جاوااسکریپت هدف قرار میدهند.
افزونه WooCommerce یک افزونه متنباز وردپرس با بیش از ۵ میلیون نصب فعال است که اجرای سایتهای تجارت الکترونیکی را آسانتر میکند. این افزونه محبوبترین افزونه رایگان تجارت الکترونیک وردپرس است که روی هر وبسایت سازگار با وردپرس قابلنصب بوده و دارای قابلیت شخصیسازی است. همچنین بهراحتی در theme وردپرس وبسایت ادغامشده و به همراه بخشهای دیگر وبسایت اجرا میشود. پس از نصب، WooCommerce به داشبورد وردپرس وبسایت افزودهشده و به همراه ابزارهای آماری و گزارشدهی خود کمک میکند تا امور تجارت الکترونیک مانند افزودن محصولات و فروش، مدیریت شوند.
افزونه WooCommerce میلیونها وبسایت تجارت الکترونیک را در سراسر دنیا راهاندازی کردهاست و مستقیماً از وبسایت وردپرس در دسترس است یا توسط بیشتر شرکتهای میزبانی وب ارائه میشود. این افزونه به توسعهدهندگان و کاربران جدید که تجربهای در توسعه وب ندارند، اجازه میدهد تا از درون یک وبسایت وردپرسی، فروشگاههای آنلاین کاملاً کاربردی و جذاب طراحی کنند.
اخیراً سارقان کارت اعتباری سایتهای WooCommerce را با skimmerهای جدید هدف قرار میدهند. آنها سایتهای تجارت الکترونیکی وردپرس را که از افزونه WooCommerce استفاده میکنند با استفاده از یک بدافزار skimmer اختصاصی کارت مبتنیبر جاوااسکریپت(به جای تلاش برای هدایت پرداختها به حسابهای تحت کنترل مهاجم) هدف قرار میدهند.
در اکتبر ۲۰۱۹، دفتر تحقیقات فدرال ایالات متحده (FBI) هشدارهایی در مورد تهدیدات skimming اینترنتی که تجارتهای کوچک و متوسط (SMB) و سازمانهای دولتی را گزارش داد که از پرداختهای آنلاین استفاده میکنند را هدف گرفتهبود.
طبق نظر یک محقق امنیتی به نام Willem de Groot، مهاجمان در آگوست سال ۲۰۱۸ نیز تلاش میکردند فروشگاههای آنلاینی را که از WooCommerce استفادهمیکردند با استفاده از brute-force کردن گذرواژههای admin هک کنند؛ بنابراین این اولینبار نیست که فروشگاههای اینترنتی WooCommerce با استفاده از حملات سرقت کارتهای اعتباری (همچنین بهعنوان حملات Magecart نیز شناخته میشوند) مورد هدف قرار میگیرند.
سایتهای WooCommerce و سایر وبسایتهای تجارت الکترونیکی مبتنیبر وردپرس در گذشته نیز هدف حملات بودهاند، اما معمولاً محدود به تغییر جزییات پرداخت در تنظیمات افزونه (بهطور مثال ارسال لیست پرداخت به ایمیلهای PayPal مهاجم، بهجای صاحب مجاز وبسایت) بودند. مشاهده یک کارت اعتباری اختصاصی که تحت تأثیر بدافزارهاست، در وردپرس امری کاملاً جدید است.
این حمله توسط محققی به نام Martin به دنبال گزارشهای متعدد تراکنشهای جعلی کارت اعتباری از مشتریان در سایتهای تجارت الکترونیکی که از وردپرس و WooCommerce استفاده میکنند، کشف شد.
بررسی کامل همه فایلهای اصلی فروشگاههای اینترنتی تحت تأثیر، وجود فایلهای مخربی در این گزارشها را نشان داد. فایلهایی که دارای کد مخرب بودند به انتهای فایلهای به ظاهر بیضرر جاوااسکریپت اضافه شدند.
به گفته Martin، فهم کد جاوااسکریپت بهتنهایی مشکل است؛ بنابراین این بدافزار شماره کارت اعتباری و CVV (کد امنیتی کارت) را در یک متن ساده به شکل کوکی ذخیره میکند.
همانند سایر بدافزارهای PHP، لایههای مختلفی از رمزگذاری و الحاق برای جلوگیری از تشخیص و مخفی شدن کد اصلی این بدافزار از مدیر وبسایت، استفاده میشوند. آنچه این حمله را برجسته میکند این است که عاملان تهدید بهجای بارگذاری skimmer کارت جاوااسکریپت از یک سایت شخص ثالث تحت کنترل خود، معمولاً آن را در فایلهای اصلی کارت قرار میدهند.
اطلاعات پرداختی کارت سرقت شده در دو فایل تصویری در دایرکتوری wp-content/uploads ذخیره میشوند. با این حال skimmerهای کارت اعتباری ممکن است بتوانند قبل از تجزیهوتحلیل سایتهای آلوده، ردپای خود را بپوشانند.
معمولاً تشخیص نقطه ورود مهاجمان برای آلوده کردن سایتهای تجارت الکترونیکی به عنوان بخشی از حمله Magecart ساده است (یک حساب wp-admin، گذرواژه SFTP، گذرواژه میزبان یا بخشی از یک نرمافزار آسیبپذیر در محیط)، که در این نمونه آشکار نبود.
افرادی که نگران امنیت وبسایت وردپرس خود هستند، باید ویرایش مستقیم فایل برای wp-admin را با اضافه کردن خط زیر به wp-config.php خود غیرفعال کنند:
define ( ‘DISALLOW_FILE_EDIT’, true );
روشهای مشابهی برای حمله به سایتهای وردپرس با استفاده از نوار پرداخت استفاده شدهاست که مهاجمان بارهای مخرب متفاوتی را برای هر نمونه بهکارمیگیرند.
منبع: مرکز ماهر
