Webmaster aufgepasst! WordPress-Skimmer nutzen Datenbanktabellen, um Zahlungsinformationen zu stehlen
Cybersicherheitsexperten haben eine heimliche und ausgeklügelte Kampagne zum Abfangen von Kreditkartendaten aufgedeckt, die auf WordPress-Websites abzielt. Durch das Einbetten von bösartigem JavaScript in Datenbanktabellen umgehen diese Skimmer herkömmliche Erkennungsmethoden und stehlen vertrauliche Zahlungsinformationen. Diese alarmierende Bedrohung unterstreicht die sich entwickelnden Taktiken, mit denen Cyberkriminelle E-Commerce-Plattformen ausnutzen.
Inhaltsverzeichnis
So funktioniert die Skimming-Malware
Webmaster sollten immer auf der Hut vor schädlichem JavaScript sein, da dieser Skimmer-Angriff möglicherweise unbemerkt bleibt. Die Skimmer zielen auf WordPress-E-Commerce-Websites ab, indem sie bösartiges JavaScript in die wp_options-Tabelle unter der Option „widget_block“ einfügen. Mit dieser Methode kann sich die Malware vor aller Augen verstecken und wird von den meisten Sicherheitstools nicht erkannt. Nach der Einbettung nutzt die Malware die Verwaltungsoberfläche von WordPress aus, um das schädliche JavaScript in HTML-Block-Widgets einzufügen.
Aktivierung auf Checkout-Seiten
Das Skimming-Skript wird nur auf Checkout-Seiten aktiviert und führt dort folgende Aktionen aus:
- Kapert vorhandene Zahlungsfelder – Ändert legitime Felder, um Zahlungsdaten abzufangen.
- Fügt gefälschte Kreditkartenformulare ein – Erstellt dynamisch ein Zahlungsformular, das echte Prozessoren wie Stripe nachahmt.
Diese gefälschten Formulare erfassen vertrauliche Daten wie Kreditkartennummern, CVVs und Rechnungsinformationen. Alternativ kann das Skript legitime Zahlungsformulare überwachen und in Echtzeit eingegebene Daten stehlen.
Verschleierung und Exfiltration
Die gestohlenen Daten werden kodiert und verschlüsselt, damit sie nicht entdeckt werden:
- Base64-Kodierung : Wandelt die Daten in ein harmlos aussehendes Format um.
- AES-CBC-Verschlüsselung : Fügt eine Sicherheitsebene hinzu, um Analysen zu vermeiden.
- Datenübertragung : Sendet die verschlüsselten Informationen an vom Angreifer kontrollierte Server wie
valhafather[.]xyzoderfqbe23[.]xyz.
Eine umfassendere Täuschungskampagne
Dieser Angriff folgt auf ähnliche Skimming-Versuche, darunter einen, bei dem JavaScript-Malware verwendet wurde, um dynamisch gefälschte Zahlungsformulare zu erstellen oder Daten aus legitimen Checkout-Feldern zu extrahieren. In diesem Fall wurden die Daten mit JSON- und XOR-Methoden verschlüsselt, bevor sie an einen Remote-Server gesendet wurden.
Zusätzliche Angriffsmethoden
Die Komplexität dieser Kampagnen geht über WordPress hinaus:
- PayPal-Phishing-E-Mails : Bedrohungsakteure senden E-Mails von legitimen PayPal-Adressen, um Benutzer dazu zu verleiten, sich anzumelden und ihre Konten mit vom Angreifer kontrollierten Verteilerlisten zu verknüpfen.
- Exploits von Kryptowährungs-Wallets : Cyberkriminelle nutzen die Transaktionssimulationsfunktionen von Web3-Wallets aus, um gefälschte dezentrale Apps (DApps) einzurichten und Wallets während der Ausführungsphase zu leeren.
Schutz Ihrer Website und Ihrer Kunden
So schützen Sie WordPress-E-Commerce-Sites vor diesen Bedrohungen:
- Überprüfen Sie regelmäßig die Datenbanktabellen : Konzentrieren Sie sich auf die Tabelle wp_options und unbekannte Einträge.
- WordPress aktualisieren und patchen : Stellen Sie sicher, dass alle Plug-Ins und Designs auf dem neuesten Stand sind, um Schwachstellen zu beheben.
- Implementieren Sie Web Application Firewalls (WAFs) : Blockieren Sie schädliche Skripts, bevor sie Ihre Datenbank erreichen.
- Überwachen Sie das Admin-Panel auf ungewöhnliche Aktivitäten : Achten Sie auf Änderungen an Widgets und HTML-Blöcken.
- Benutzer schulen : Warnen Sie Kunden vor gefälschten Zahlungsformularen und den Risiken von Phishing-E-Mails.
Die Entwicklung von Kreditkarten-Skimmern, die auf WordPress-Websites abzielen, unterstreicht die Bedeutung robuster Cybersicherheitspraktiken. Durch das Einbetten von Schadcode direkt in Datenbanktabellen sind diese Kampagnen schwerer zu erkennen und können vertrauliche Daten effektiver stehlen. Websitebesitzer müssen wachsam und proaktiv bleiben, um ihre Plattformen zu sichern und sowohl ihr Unternehmen als auch ihre Kunden vor diesen immer ausgefeilteren Bedrohungen zu schützen.