Hackers έχουν εκμεταλλευτεί το Dessky Snippets WordPress Plugin για να εισάγουν κακόβουλο λογισμικό σε ιστότοπους (κυρίως WooCommerce) και να κλέψουν πληροφορίες πιστωτικών καρτών.
Το Dessky Snippets Plugin χρησιμοποιείται για κακόβουλα PHP Injections
Μετά από αναφορές για κλεμμένες πληροφορίες πιστωτικών καρτών, ο αναλυτής κυβερνοασφάλειας, Conrado Torquato, ξεκίνησε έρευνα.
Σύμφωνα με αναφορές της Sucuri, οι εισβολείς χρησιμοποίησαν το πρόσθετο Dessky Snippets, ένα σχετικά άγνωστο WordPress plugin με μόνο μερικές εκατοντάδες ενεργές εγκαταστάσεις.
Δείτε επίσης: UserPro plugin – WordPress: Προσοχή! Κρίσιμη ευπάθεια
Αυτό το πρόσθετο επέτρεψε στους εισβολείς να προσθέσουν κακόβουλο κώδικα PHP στους ιστότοπους των θυμάτων, θέτοντας σε κίνδυνο τη διαδικασία ολοκλήρωσης αγοράς στα καταστήματα WooCommerce.
Ο κακόβουλος κώδικας ήταν έξυπνα κρυμμένος κάτω από πολλές κενές γραμμές στον κώδικα του plugin, καθιστώντας δύσκολο τον εντοπισμό του.
Ο κακόβουλος κώδικας τροποποιεί τη φόρμα χρέωσης κατά την ολοκλήρωση αγοράς, προσθέτοντας νέα πεδία για την εισαγωγή των στοιχείων της πιστωτικής κάρτας και την αποστολή τους σε μια διεύθυνση URL.
Εξελιγμένες τεχνικές αποφυγής εντοπισμού
Το κακόβουλο λογισμικό που ήταν ενσωματωμένο στο Dessky Snippets WordPress plugin χρησιμοποιούσε δύο κύρια κομμάτια κώδικα.
Το πρώτο κομμάτι χρησιμοποιούσε μια ψευδή συνάρτηση με το όνομα twentytwenty_get_post_logos, η οποία λειτουργούσε ως hook στο WooCommerce woocommerce_after_checkout_billing_form hook.
Αυτή η λειτουργία πρόσθεσε νέα πεδία στη φόρμα χρέωσης, εξαπατώντας τους χρήστες να εισαγάγουν τα στοιχεία της πιστωτικής τους κάρτας.
Δείτε επίσης: LiteSpeed Cache plugin: Hackers αποκτούν τον έλεγχο WordPress sites μέσω ευπάθειας
Το δεύτερο κομμάτι κώδικα παρακολουθούσε δεδομένα POST για συγκεκριμένες παραμέτρους, που σχετίζονται με τα πεδία φόρμας που εισήχθησαν. Με την εισαγωγή των επιθυμητών στοιχείων στα πεδία, το κακόβουλο λογισμικό έστελνε τις πληροφορίες της πιστωτικής κάρτας σε μια διεύθυνση URL.
Για να αποφευχθεί ο εντοπισμός, τα πλαστά πεδία ορίστηκαν με autocomplete=”off”. Αυτό εμπόδισε τα προγράμματα περιήγησης να προειδοποιούν τους χρήστες σχετικά με την εισαγωγή ευαίσθητων πληροφοριών και έκανε τα πεδία να εμφανίζονται ως νόμιμες εισροές.
Οι χρήστες, των οποίων τα δεδομένα έχουν κλαπεί, αντιμετωπίζουν σοβαρούς οικονομικούς κινδύνους. Οι hackers μπορούν να χρησιμοποιήσουν τα κλεμμένα στοιχεία για να πραγματοποιήσουν μη εξουσιοδοτημένες αγορές, αδειάζοντας τους τραπεζικούς λογαριασμούς των θυμάτων.
Επιπλέον, οι hackers μπορούν να χρησιμοποιήσουν τα κλεμμένα δεδομένα για να ανοίξουν νέες πιστωτικές κάρτες ή να πάρουν δάνεια στο όνομα του θύματος, προκαλώντας μακροχρόνιες οικονομικές επιπτώσεις.
Η διαδικασία αποκατάστασης των κλεμμένων δεδομένων μπορεί να είναι χρονοβόρα και δαπανηρή. Οι χρήστες μπορεί να χρειαστεί να περάσουν ώρες επικοινωνώντας με τράπεζες, εταιρείες πιστωτικών καρτών και άλλους οργανισμούς για να αναφέρουν την κλοπή και να αποκαταστήσουν την οικονομική τους κατάσταση.
Δείτε επίσης: WP Automatic WordPress plugin: Hackers χρησιμοποιούν κρίσιμη ευπάθεια
Τέλος, η απώλεια εμπιστοσύνης είναι μια σημαντική συνέπεια για τους χρήστες. Όταν τα προσωπικά τους δεδομένα κλαπούν, μπορεί να χάσουν την εμπιστοσύνη τους στις διαδικτυακές συναλλαγές και στις πλατφόρμες που χρησιμοποιούν, οδηγώντας σε μειωμένη χρήση και εμπιστοσύνη στο διαδίκτυο.
Προστασία ηλεκτρονικών καταστημάτων:
Διατηρήστε το λογισμικό ενημερωμένο: Ενημερώνετε τακτικά το CMS, τα plugins, τα θέματα και τα στοιχεία τρίτων για να επιδιορθώνετε ευπάθειες.
Χρήση ισχυρών κωδικών πρόσβασης: Βεβαιωθείτε ότι όλοι οι λογαριασμοί, συμπεριλαμβανομένων των διαπιστευτηρίων διαχειριστή, sFTP και βάσης δεδομένων, διαθέτουν ισχυρούς και μοναδικούς κωδικούς πρόσβασης.
Παρακολούθηση απειλών: Ελέγχετε τακτικά τον ιστότοπό σας για ενδείξεις παραβίασης, μη εξουσιοδοτημένες αλλαγές κλπ.
Εφαρμογή firewall: Χρησιμοποιήστε ένα firewall για να αποκλείσετε κακόβουλα bots, να επιδιορθώσετε ουσιαστικά γνωστά τρωτά σημεία και να φιλτράρετε την επιβλαβή κυκλοφορία.
Για τους επισκέπτες ιστότοπων, η χρήση επεκτάσεων αποκλεισμού scripts και η διατήρηση ισχυρού λογισμικού προστασίας από ιούς μπορεί να βοηθήσει στον εντοπισμό και την πρόληψη επιθέσεων skimming.
Πηγή: gbhackers.com
