افزونه WooCommerce میلیون‌ها وب‌سایت تجارت الکترونیک را در سراسر دنیا راه‌اندازی کرده است و مستقیماً از وب‌سایت وردپرس در دسترس است، یا توسط بیشتر شرکت‌های میزبانی وب ارائه می‌شود. این افزونه به توسعه‌دهندگان و کاربران جدید که تجربه‌ای در توسعه وب ندارند، اجازه می‌دهد تا از درون یک وب‌سایت وردپرسی، فروشگاه‌های آنلاین کاملاً کاربردی و جذاب طراحی کنند.

اخیراً سارقان کارت اعتباری سایتهای WooCommerce را با skimmerهای جدید هدف قرار می‌دهند. آن‌ها سایت‌های تجارت الکترونیکی وردپرس که از افزونه WooCommerce استفاده می‌کنند را با استفاده از یک بدافزار skimmer اختصاصی کارت مبتنی بر جاوااسکریپت(به جای تلاش برای هدایت پرداخت‌ها به حساب‌های تحت کنترل مهاجم) هدف قرار می‌دهند.

طبق نظر یک محقق امنیتی به نام Willem de Groot، مهاجمان در آگوست سال ۲۰۱۸ نیز تلاش می‌کردند فروشگاه‌های آنلاینی که از WooCommerce استفاده می‌کردند را با استفاده از brute-force کردن گذرواژه‌های admin هک کنند؛ بنابراین این اولین بار نیست که فروشگاه‌های اینترنتی WooCommerce با استفاده از حملات سرقت کارت‌های اعتباری (همچنین به‌عنوان حملات Magecart نیز شناخته می‌شوند) مورد هدف قرار می‌گیرند.

سایت‌های WooCommerce و سایر وب‌سایت‌های تجارت الکترونیکی مبتنی بر وردپرس، در گذشته نیز هدف حملات بوده‌اند، اما معمولاً محدود به تغییر جزئیات پرداخت در تنظیمات افزونه (به‌طور مثال ارسال لیست پرداخت به ایمیل‌های PayPal مهاجم، به‌جای صاحب مجاز وب‌سایت) بودند. مشاهده یک کارت اعتباری اختصاصی که تحت تأثیر بدافزارهاست، در وردپرس امری کاملاً جدید است.

۱- روش جدید skimming کارت اعتباری

این حمله توسط محققی به نام Martin به دنبال گزارش‌های متعدد تراکنش‌های جعلی کارت‌ اعتباری از مشتریان، در سایت‌های تجارت الکترونیکی که از وردپرس و WooCommerce استفاده می‌کنند، کشف شد.

بررسی کامل کلیه فایل‌های اصلی فروشگاه‌های اینترنتی تحت تأثیر، وجود فایل‌های مخربی در این گزارشات را نشان داد. فایل‌هایی که دارای کد مخرب بودند به انتهای فایل‌های به ظاهر بی‌ضرر جاوااسکریپت اضافه شدند.

به گفته Martin، فهم کد جاوااسکریپت به‌تنهایی مشکل است؛ بنابراین این بدافزار شماره کارت اعتباری و CVV (کد امنیتی کارت) را در یک متن ساده به شکل کوکی ذخیره می‌کند.

همانند سایر بدافزارهای PHP، لایه‌های مختلفی از رمزگذاری و الحاق برای جلوگیری از تشخیص و مخفی شدن کد اصلی این بدافزار از مدیر وب‌سایت، استفاده می‌شوند. آنچه این حمله را برجسته می‌کند این است که عاملان تهدید به‌جای بارگذاری skimmer کارت جاوااسکریپت از یک سایت شخص ثالث تحت کنترل خود، معمولاً آن را در فایل‌های اصلی کارت قرار می‌دهند.

۲- از بین بردن ردپای مهاجمان

اطلاعات پرداختی کارت سرقت شده در دو فایل تصویری در دایرکتوری wp-content/uploads ذخیره می‌شوند. با این حال skimmerهای کارت اعتباری ممکن است بتوانند قبل از تجزیه و تحلیل سایت‌های آلوده، ردپای خود را بپوشانند.

معمولاً تشخیص نقطه ورود مهاجمان برای آلوده کردن سایت‌های تجارت الکترونیکی به عنوان بخشی از حمله Magecart ساده است (یک حساب wp-admin، گذرواژه SFTP، گذرواژه میزبان یا بخشی از یک نرم‌افزار آسیب‌پذیر در محیط)، که در این نمونه آشکار نبود.

افرادی که نگران امنیت وب‌سایت وردپرس خود هستند، باید ویرایش مستقیم فایل برای wp-admin را با اضافه کردن خط زیر به wp-config.php خود غیرفعال کنند:

define( ‘DISALLOW_FILE_EDIT’, true );

روش‌های مشابهی برای حمله به سایت‌های وردپرس با استفاده از نوار پرداخت استفاده شده است که مهاجمان بارهای مخرب متفاوتی را برای هر نمونه به کار می‌گیرند.

منبع خبر: مرکز ماهر