WooCommerce陷入新鲜的卡片窃听器恶意软件

盗窃信用卡的罪犯将目光投向了名为WooCommerce的WordPress插件，该插件是一个基于JavaScript的读卡恶意软件的电子零售商平台。

Sucuri研究人员Ben Martin最近调查了针对WooCommerce网站的窃听器攻击，发现它与以前的针对基于WordPress电子商务目的地的支付卡广告系列有所不同-该恶意软件不仅拦截了输入到WordPress中的付款信息结帐页面上的字段。

他在星期四的帖子中解释说：“ [过去对WooCommerce的攻击]通常仅限于在插件设置中修改付款细节。” “例如，将付款转发到攻击者的PayPal电子邮件，而不是合法的网站所有者。 在WordPress中看到专用的信用卡刷卡恶意软件是相当新的东西。”

幕后花絮

马丁写道，在扫描了受感染的网站之后，那里的顾客抱怨欺诈交易，最初似乎没有什么不对劲。 为了找到盗窃者，它对站点的核心文件进行了更深入的完整性检查。

攻击者不仅可以简单地注入恶意的第三方代码（Magecart和其他组织使用的典型方法），还可以修改网站上有意使用的通常为良性的JavaScript文件。

研究人员解释说：“它存放在JQuery文件的末尾：./ wp-includes / js / jquery / jquery.js的末尾，插入到结尾的jQuery.noConflict（）;之前。”

他补充说：“这并不容易看到。 恶意软件驻留在一个已经存在且合法的文件中，这使得它很难被发现。”

据马丁说，用于实际收集卡详细信息的脚本部分可在“ ./wp-includes/rest-api/class-wp-rest-api.php”文件中找到。 他说，它的行为类似于其他PHP恶意软件。

他写道：“就像PHP恶意软件中常见的那样，采用了多层编码和串联，以试图避免被普通网站管理员检测到并隐藏其核心代码。”

一旦获取了付款详细信息，恶意脚本就会以cookie的形式将付款卡号和CVV卡安全代码保存为纯文本格式。 然后，它使用合法的file_put_contents函数将它们收集到两个单独的图像文件（.PNG文件和JPEG）中。 研究人员说，这些文件保存在wp-content / uploads目录结构中。

马丁在调查中发现图像文件中没有窃取的数据，这表明，“潜在的是，恶意软件能够覆盖自己的轨道，并在攻击者获取信息后自动清除这些文件，”他的文章。

WordPress撇渣器：不断发展的趋势

Martin指出，虽然像Magecart这样的知名盗卡组织通常将目标锁定在Magento平台上运行的电子商务网站，但WooCommerce最近已成为电子商务平台的市场领导者 。 这自然引起了网络犯罪分子对新攻击面的关注。

他说：“随着WooCommerce最近超过所有其他电子商务平台的普及，我们开始看到攻击者更频繁地将目标瞄准此平台只是时间问题。”

他说，这是他遇到的这种针对WordPress的卡片窃取恶意软件的第一种情况，但此后又出现了更多此类恶意软件，“具有电子商务功能和在线交易的WordPress网站几乎肯定会继续存在有针对性地前进。”

鉴于攻击者能够以多种方式来破坏网站（例如，利用已知的易受攻击的插件或通过蛮力的admin帐户） ，保护WooCommerce和其他基于WordPress的网站免受浏览者和其他恶意软件攻击的一种好方法是马丁说，为wp-admin禁用直接文件编辑。

他说：“ [在您的wp-config.php文件中添加以下行：define（'DISALLOW_FILE_EDIT'，true）;，” “这甚至使管理员用户无法直接从wp-admin仪表板中编辑文件。 如果管理员帐户遭到破坏，这可能会在攻击者提供有效载荷与否之间产生影响。”

担心在家办公时代的云安全性？ 美国东部时间4月23日下午2点 ，加入DivvyCloud和Threatpost进行免费的网络研讨会， 这是《面对危机确保云安全的实用指南》 。 获得有关如何避免面对COVID-19以及在整个危机期间如何避免云中断和混乱的独家研究见解和重要的高级知识。 请在此处注册 此赞助的网络研讨会。