信用卡信息被竊取?隨機WordPress插件遭感染可能是原因之一!
正所謂道高一尺魔高一丈,如今的信用卡信息竊取手段令人防不勝防。
你知道嗎?現在竟然有這樣一種方法,信用卡刷卡器(Credit card swipers)被注入電子商務WordPress網站的隨機插件中,在竊取客戶付款詳細信息的同時還能隱藏起自己而免受檢測。
如今,隨著圣誕節購物季的如火如荼,竊卡者活躍于通過stealthy skimmers感染在線電商。最新的趨勢是將惡意腳本注入WordPress插件文件中,從而避免受到密切監控的“wp admin”和“wp includes”核心目錄。
大隱隱于市
根據Sucuri一份新的報告,執行信用卡盜竊的黑客首先入侵WordPress網站,并向網站注入后門以實現其持久化。這些后門允許黑客保留對網站的訪問權,哪怕管理員已經安裝了WordPress或打了補丁。這樣一來,當攻擊者以后使用后門時,它就會掃描管理員的用戶列表,并使用他們授權cookie和當前用戶登錄來訪問站點。
網站文件上的后門注入(資料來源:Sucuri)
在此之后,入侵者會將其惡意代碼添加到隨機插件中,根據Sucuri的說法來看,許多腳本甚至并沒有混淆。
插件上未混淆的代碼添加(資料來源:Sucuri)
然而,在檢查代碼時,分析人員注意到一個圖像優化插件不僅包含對WooCommerce的引用,還包含未定義的變量。該插件并沒有漏洞,有可能是由入侵者隨機選擇的。
通過使用PHP“get_defined_vars()”,Sucuri發現其中一個未定義的變量引用了德國服務器上托管的域。該域名沒有鏈接到他們正在調查的受損網站,而該網站正在北美開展業務。
同一個站點在404頁面插件上進行了第二次注入,該插件使用了相同的方法在未混淆的代碼中隱藏變量,從而保存實際的信用卡瀏覽器。
在本案例中,它的“$thelist”和“$message”變量用于支持惡意軟件。前者引用接收URL,后者使用“file_get_contents()”以獲取支付的詳細信息。
變量支持略讀功能(資料來源:Sucuri)
如何防范
管理員可以采取多種保護措施,使他們的網站沒有惡意腳本或盡可能地減少被感染的時間。
- wp-admin應僅限于特定IP地址。在這種情況下,即使注入了后門、竊取了管理員cookie,攻擊者也無法訪問該站點。
- 為了及時發現問題,網站應該通過主動服務器端掃描程序的文件完整性監視機制。
- 養成看日志和深入了解細節的良好習慣。例如,文件更改、主題或插件更新總會反映在日志中。
