کشف کلاهبرداری جدید در وب سایت های وردپرس - مدرسه مالک اشتر

به گزارش مدرسه مالک اشتر به نقل از مرکز ماهر، حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده و شرکت های تجاری بزرگی که از بستر Magento استفاده می نمایند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود نموده است، آسیب دیده اند.

هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستم های پرداختی و به دست آوردن اطلاعات کارت اعتباری زمان واردکردن آن ها توسط مشتری است.

مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت نموده اند را دریافت می نمایند، در حالی که در پس زمینه جنایتکاران داده های لازم را به منظور کلاهبرداری کارت ضبط نموده اند.

این حملات معمولاً تا زمانی که قربانی دارنده کارت شکایتی نکند، شناسایی نمی گردد.

کارشناسان شرکت امنیتی Sucuri، یک نرم افزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است.

این نرم افزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیب پذیری های افزونه WooCommerce به کار گرفته می گردد. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستم فایل استفاده می نمایند و اطلاعات پرداختی درون تنظیمات افزونه WooCommerce را تغییر می دهند.

اغلب تزریق های کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict تزریق شده است.

بخشی از اسکریپتی که اطلاعات کارت را ضبط می نماید، در فایل ./wp-includes/rest-api/class-wp-rest-api.php تزریق شده است. سپس این اسکریپت از تابع قانونی legal-put-contents برای ذخیره سازی آن ها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه wp-content/uploads نگهداری می شوند، استفاده می نماید. این بدافزار مخرب جزئیات پرداخت را جمع آوری می نماید و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در قالب کوکی ذخیره می نماید.

در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبوده اند؛ شرایطی که نشان می دهد پس از به دست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی اتوماتیک فایل ها است.

همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در کوشش برای جلوگیری از شناسایی شدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده می گردد. تنها نشانه شاخص این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاری شدن کد مخرب اضافه شده بود.

اگر این حملات علیه سایت های تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسان تر است.

متأسفانه هنوز تعیین نیست که مهاجمان چگونه در مرحله اول وارد سایت شده اند، اما به احتمال زیاد به وسیله به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیب پذیری نرم افزار در WordPress یا WooCommerce این امر میسر شده است.

تمامی فروشگاه های تجارت الکترونیک احتیاج به دفاع دقیقی دارند. WooCommerce این کار را به وسیله تغییر در نام کاربری پیش فرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان سخت است و همچنین با استفاده از یک گذرواژه قوی، انجام داده است.

علاوه بر تنظیمات امنیتی خاص مانند محدودکردن کوشش برای ورود به سیستم و استفاده از احراز هویت دوعاملی، به روزرسانی WordPress و افزونه WooCommerce هم مهم است.

همچنین متخصصان Sucuri به مدیران وب سایت های WordPress توصیه می نمایند که ویرایش مستقیم فایل را برای wp-admin با اضافه کردن خط define (‘DISALLOW-FILE-EDIT, true); به فایل wp-config.php، غیرفعال نمایند.