제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

WooCommerce 플러그인을 사용하여 WordPress 사이트에서 발견 된 새로운 전자 스키머

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 1370

전문가들은 WooCommerce 플러그인을 사용하여 WordPress 웹사이트에 대한 MageCart 공격에 사용된 새로운 e-스키머를 발견했습니다.

보안업체 Sucuri의 전문가들이 기존에 사용된 유사한 악성코드와 다른 새로운 e-skimmer 소프트웨어를 발견했습니다. Magecart 공격. 스키밍된 새로운 소프트웨어는 WooCommerce 플러그인을 사용하여 WordPress 기반 전자 상점에 대한 공격에 사용되었습니다.

전자 스키머는 사용자가 체크아웃 페이지의 필드에 제공한 결제 정보를 가로채는 데 그치지 않습니다.

"당연히 WooCommerce 및 기타 WordPress 기반 전자 상거래 웹 사이트는 이전에 표적이 되었지만 일반적으로 플러그인 설정 내에서 결제 세부 정보를 수정하는 것으로 제한되었습니다." 을 읽습니다 분석 Sucuri에서 출판. “예를 들어 합법적인 웹사이트 소유자 대신 공격자의 PayPal 이메일로 결제를 전달합니다. WordPress 내에서 전용 신용 카드 스 와이프 맬웨어를 보는 것은 상당히 새로운 것입니다.”

전문가들은 처음에 한 고객의 웹사이트에서 스캔을 수행했고 제네릭을 발견했습니다. 백도어 및 기타 맬웨어. 그런 다음 그들은 무결성 검사 핵심 파일을 제거하고 감염의 일부를 밝힙니다.

주입된 JavaScript 코드의 대부분은 합법적인 코드가 끝날 무렵에 발견되었습니다. JQuery와 파일(“./wp-/js/jquery/jquery 포함.js").

"대부분의 JavaScript 주입은 파일 맨 끝에 코드를 추가하지만 이것에 대해 한 가지 이상한 점은 종료 jQuery.noConflict(); 전에 삽입되었다는 것입니다." 분석을 계속합니다.

“보기가 쉽지 않습니다. 맬웨어가 이미 존재하고 합법적인 파일 내에 자리 잡고 있다는 사실 때문에 탐지하기가 조금 더 어렵습니다.”

이 기술은 타사 웹 사이트에서 로드된 e-스키머를 사용하는 Magecart 공격과 다릅니다. 

카드 세부 정보를 캡처하는 스크립트 부분은 "./wp-includes/rest-api/class-wp-rest-api.php" 파일에 삽입되었습니다.

"PHP 악성 코드에서 일반적으로 그렇듯이, 탐지를 피하고 일반 웹마스터로부터 핵심 코드를 숨기기 위해 여러 계층의 인코딩 및 연결이 사용됩니다."라고 게시물은 계속됩니다.

악성 소프트웨어는 결제 세부 정보를 수집하고 카드 번호와 CVV 보안 코드를 쿠키 형태의 일반 텍스트로 저장합니다. 그런 다음 스크립트는 합법적인 file_put_contents 기능을 사용하여 wp-content/uploads 디렉토리 구조에 보관되는 두 개의 개별 이미지 파일(.PNG 파일 및 JPEG)에 저장합니다.

분석 당시 두 파일에는 도난당한 데이터가 포함되어 있지 않았으며, 이는 공격자가 정보를 획득한 후 맬웨어가 파일을 자동으로 삭제할 수 있는 기능이 있음을 시사하는 상황입니다.

“최근 WooCommerce가 다른 모든 것을 추월하면서 전자 상거래 플랫폼 인기 공격자가 이 플랫폼을 더 자주 표적으로 삼는 것을 보기 시작하는 것은 시간 문제였습니다.”라고 보안은 계속합니다..

WooCommerce 그는 이것이 그가 발견한 이런 종류의 워드프레스 대상 카드 스키밍 맬웨어의 첫 번째 사례였지만 그 이후로 몇 가지 더 등장했으며 “전자 상거래 기능과 온라인 거래가 있는 워드프레스 웹사이트는 거의 확실하게 계속해서 앞으로 타깃이 될 것”이라고 말했다.

2019년 XNUMX월 워드프레스 보안업체 '플러그인 취약점'이 발견한 WooCommerce 플러그인의 치명적인 취약점 WordPress 기반 전자상거래 웹사이트를 해킹에 노출시켰습니다.

이 취약성은 WordPress를 기반으로 하고 WooCommerce 플러그인을 실행하는 전자 상거래 웹사이트 소유자가 체크아웃 페이지에서 양식을 사용자 지정할 수 있도록 하는 WooCommerce Checkout Manager 플러그인에 영향을 미칩니다.

전문가들은 웹사이트의 WooCommerce Checkout Manager 플러그인 설정 내에서 "업로드된 파일 분류" 옵션이 활성화된 경우 인증되지 않은 원격 공격자가 악용할 수 있는 "임의 파일 업로드" 취약점을 발견했습니다.

Sucuri의 전문가는 WordPress 사이트 관리자에게 직접 파일 편집을 비활성화하도록 권장합니다. wp-admin 다음 줄을 WP-config.php를 파일 :

define ( 'DISALLOW_FILE_EDIT', true);

“이는 심지어 관리자 사용자가 wp-admin 계기반. 관리자 계정이 손상된 경우 공격자가 페이로드를 제공할지 여부가 달라질 수 있습니다.” 결론 Sucuri.

피에르 루이지 파가니니

(보안업무 - WooCommerce, 워드프레스)

[adrotate banner =”13 ″]



출처: https://securityaffairs.co/wordpress/101445/hacking/woocommerce-plugin-e-skimmer.html

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.