Experter upptäckte en ny e-skimmer anställd i MageCart-attacker mot WordPress-webbplatser med WooCommerce-plugin.
Experter från säkerhetsföretaget Sucuri upptäckte en ny e-skimmerprogramvara som skiljer sig från liknande skadlig programvara som används i Magecart attackerar. Den nya mjukvaran skummade användes i attacker på den WordPress-baserade e-butiken med WooCommerce-plugin.
E-skimmeren fångar inte bara betalningsinformation som användarna tillhandahåller i fälten på en utcheckningssida.
"Naturligtvis har WooCommerce och andra WordPress-baserade e-handelswebbplatser varit inriktade tidigare, men detta har vanligtvis varit begränsat till ändringar av betalningsinformation inom insticksinställningarna." läser analys publicerad av Sucuri. “Till exempel vidarebefordra betalningar till angriparens PayPal-e-post istället för den legitima webbplatsägaren. Att se ett dedicerat kreditkort som sveper malware i WordPress är något ganska nytt. ”
Experter utförde initialt en skanning på en klients webbplats och upptäckte generiska
De flesta av den injicerade JavaScript-koden upptäcktes nära slutet av en legitim
"De flesta JavaScript-injektioner lägger till koden i slutet av filen, men en fråga som jag märkte till detta var att den sattes före slutet av jQuery.noConflict ();" fortsätter analysen.
”Det är inte så lätt att se. Det faktum att skadlig programvara placerade sig i en redan befintlig och legitim fil gör det lite svårare att upptäcka. ”
Tekniken skiljer sig från Magecart-attacker som använder e-skimmers laddade från en tredje parts webbplats.
Den del av skriptet som fångar kortinformationen injicerades i filen "./wp-includes/rest-api/class-wp-rest-api.php".
"Som är typiskt för PHP-skadlig programvara används flera lager av kodning och sammankoppling i ett försök att undvika upptäckt och dölja dess kärnkod från den genomsnittliga webbansvarige," fortsätter posten.
Den skadliga programvaran skördar betalningsinformationen och sparar kortnummer och CVV-säkerhetskoder i ren text i form av cookies. Skriptet använder sedan den legitima file_put_contents-funktionen för att lagra dem i två separata bildfiler (en. PNG-fil och en JPEG) som finns i katalogstrukturen wp-content / uploads.
Vid tidpunkten för analysen innehöll båda filerna inga stulna data, en omständighet som tyder på att skadlig programvara hade förmågan att automatiskt rensa filerna efter att informationen hade skaffats av angriparna.
”Med WooCommerce som nyligen förbi alla andra
WooCommerce sa att det här var det första fallet med den här typen av WordPress-inriktad programvara för kortskumning som han kom över, men att en handfull fler har dykt upp sedan, och att "WordPress-webbplatser med e-handelsfunktioner och online-transaktioner nästan säkert kommer att fortsätta att vara riktad framöver. ”
I april 2019 upptäckte WordPress säkerhetsföretag 'Plugin Vulnerabilities' en kritisk sårbarhet i WooCommerce-plugin som utsatte WordPress-baserade e-handelswebbplatser för att hacka.
Sårbarheten påverkar WooCommerce Checkout Manager-plugin som tillåter ägare av e-handelswebbplatser baserade på WordPress och kör WooCommerce-plugin att anpassa formulär på deras kassasidor.
Experterna upptäckte en "godtycklig filöverföring" sårbarhet som kan utnyttjas av oautentiserade, fjärrattackare när webbplatserna har alternativet "Kategorisera uppladdade filer" aktiverat inom WooCommerce Checkout Manager plugin-inställningar.
Experterna från Sucuri rekommenderar att WordPress-webbplatser administrerar att inaktivera direkt filredigering för wp-admin genom att lägga till följande rad till din wp-config.php fil:
definiera ('DISALLOW_FILE_EDIT', sant);
”Detta förhindrar till och med administratörsanvändare från att kunna redigera filer direkt från wp-admin instrumentbräda. I händelse av ett kompromissat administratörskonto kan detta göra skillnaden mellan angriparen som levererar sin nyttolast eller inte. " avslutar Sucuri.
|
|
(
[
Dela på
Källa: https://securityaffairs.co/wordpress/101445/hacking/woocommerce-plugin-e-skimmer.html
