Незаметный скиммер кредитных карт нацелен на страницы оформления заказа WordPress с помощью инъекции базы данных

security IOC

Исследователи обнаружили сложное вредоносное программное обеспечение для скиммера кредитных карт на взломанных сайтах WordPress. Это вредоносное ПО внедряется в базу данных WordPress и бесшумно добавляет вредоносный JavaScript, чтобы украсть конфиденциальные платежные данные с страниц оформления заказа. Код вредоносного JavaScript был обнаружен в виджете блока HTML через админ-панель WordPress.

Описание

Вредоносная программа работает следующим образом: она проверяет URL страницы и активируется только на страницах оформления заказа. Затем она создает поддельную форму для оплаты, имитирующую легитимные платежные процессоры, и перехватывает данные, вводимые пользователем, в режиме реального времени. При вводе пользователем своих платежных данных, вредоносное ПО перехватывает эти данные. Оно также может использовать существующие поля оплаты на странице, чтобы быть совместимым с различными платежными системами.

Для обфускации похищенных данных вредоносная программа использует кодировку Base64 в сочетании с шифрованием AES-CBC. Это позволяет скрыть данные во время передачи и усиливает их защиту от анализа. После шифрования данные отправляются на удаленный сервер, под контролем злоумышленников, с использованием функции navigator.sendBeacon. Это позволяет бесшумно передавать данные без прерывания работы пользователя.

Собранные данные передаются на несколько доменов, включая valhafather[.]xyz и fqbe23[.]xyz. Они используются злоумышленниками для сбора украденных платежных данных и дальнейшего их использования в мошеннических целях.

Обнаружение этого сложного вредоносного ПО для скиммера кредитных карт на взломанных сайтах WordPress подчеркивает необходимость принятия мер предосторожности для защиты данных пользователей. Рекомендуется регулярно обновлять сайт WordPress и его плагины, использовать надежные пароли и мониторить активность на своем сайте для выявления подозрительной активности.

Indicators of Compromise

Domains

  • fqbe23.xyz
  • valhafather.xyz
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий