Исследователи предупреждают о скрытном вредоносном программном обеспечении, которое крадет платежные данные с сайтов на WordPress

Исследователи в области кибербезопасности из Sucuri предупреждают владельцев веб-сайтов о новом типе кибератак, нацеленных на e-commerce сайты на WordPress.

Эта атака, известная как кампания с использованием скиммеров кредитных карт, разработана для тайного кражи платежной информации от клиентов. Вредоносное ПО работает в фоновом режиме, внедряя злонамеренный код в базу данных веб-сайта WordPress и компрометируя страницы оформления заказа, где клиенты вводят свои платежные данные.

Вредоносное ПО особенно хитроумно, поскольку не опирается на заражение файлов тем или плагинов, которые обычно сканируются на наличие злонамеренного кода. Вместо этого, оно скрывается в базе данных, что усложняет его обнаружение.

В частности, злонамеренный код внедряется в таблицу «wp_options», критически важную часть настройки WordPress, как отмечено Sucuri. Это позволяет ему избежать обнаружения обычными инструментами безопасности и оставаться на зараженных сайтах незамеченным.

Как только вредоносное ПО активируется, оно нацеливается на страницу оформления заказа, где пользователи вводят номера своих кредитных карт, сроки их действия и коды CVV. Злонамеренный код ищет слово «checkout» в веб-адресе, чтобы убедиться, что он работает только на странице оплаты, предотвращая его активацию на других частях сайта.

Он либо добавляет поддельную форму оплаты, либо захватывает существующую, создавая иллюзию, что пользователи вводят свои данные в форму легитимного платежного процессора, например, Stripe.

Пока клиенты вводят информацию о своей кредитной карте, вредоносное ПО захватывает ее в реальном времени. Чтобы сделать украденные данные менее заметными, вредоносное ПО перемешивает информацию, используя методы кодирования и шифрования, затем отправляет ее на удаленные серверы, контролируемые злоумышленником.

Этот процесс происходит тихо, поэтому клиенты не заметят ничего необычного, совершая свои покупки. Украденные данные затем продаются на подпольных рынках или используются для мошеннических транзакций, что ставит под угрозу как клиентов, так и бизнес.

То, что делает эту атаку особенно опасной, заключается в том, что она работает без нарушения процесса оформления заказа, поэтому пользователи не осознают, что их данные украдены.

Исследователи говорят, что владельцы сайтов могут защитить себя, регулярно проверяя наличие подозрительного кода в админ-панели WordPress, особенно в разделе «Виджеты». Они должны искать незнакомый JavaScript-код, который может указывать на наличие вредоносного программного обеспечения.

You didn’t provide any text for translation. Please, provide the text and I’ll be happy to assist you.