Ειδικοί στην κυβερνοασφάλεια αποκάλυψαν την ύπαρξη ενός hacker – skimmer πιστωτικών καρτών, ενσωματωμένο σε πλαστό Meta Pixel, στοχεύοντας την παράκαμψη της ανίχνευσης.
Η εταιρεία Sucuri αναφέρει ότι κακόβουλο λογισμικό διεισδύει σε ιστοσελίδες μέσω εργαλείων που δίνουν τη δυνατότητα εισαγωγής προσαρμοσμένου κώδικα. Αυτά περιλαμβάνουν πρόσθετα στοιχεία του WordPress όπως το Simple Custom CSS και JS, καθώς και την ενότητα “Διάφορα σενάρια” στον πίνακα διαχείρισης του Magento.
Διαβάστε σχετικά: Ρωσία: Κατηγορεί hackers για κλοπή πιστωτικών καρτών
Η ανάλυση της security web εταιρείας, αποκάλυψε ένα ψεύτικο σενάριο παρακολούθησης Meta Pixel, το οποίο εντός περιέχει στοιχεία παρόμοια με εκείνα του επίσημου. Παρόλα αυτά, μια πιο διεξοδική ανάλυση αποκαλύπτει μια σημαντική διαφορά: την εισαγωγή κώδικα JavaScript που υποκαθιστά τις αναφορές στην διεύθυνση “connect.facebook[.]net” με “b-connected[.]com”.
Ενώ ο πρώτος τομέας αντιστοιχεί σε μια αυθεντική λειτουργία παρακολούθησης Pixel, ο τομέας που χρησιμοποιείται ως αντικατάσταση εξυπηρετεί τον σκοπό φόρτωσης ενός κακόβουλου σεναρίου (“fbevents.js”). Αυτό το σενάριο εντοπίζει αν ένα θύμα βρίσκεται σε σελίδα ολοκλήρωσης αγοράς και, σε περίπτωση που βρίσκεται, ενεργοποιεί μια παραπλανητική επικάλυψη με σκοπό την κλοπή των στοιχείων της πιστωτικής τους κάρτας.
Είναι σημαντικό να αναφερθεί, ότι το “b-connected[.]com” αποτελεί έναν επίσημο ιστότοπο ηλεκτρονικού εμπορίου, ο οποίος έχει παραβιαστεί στο παρελθόν με σκοπό να εισάγουν hacker κακόβουλο κώδικα. Προσθέτοντάς το, τα στοιχεία που υποβάλλονται μέσω της πλαστής πλατφόρμας περνούν σε έναν άλλο παραβιασμένο ιστότοπο, το “www.donjuguetes[.]es”.
Για την αποφυγή των κινδύνων, είναι σημαντικό να διατηρείτε τις ιστοσελίδες σας ενημερωμένες, να επιθεωρείτε τακτικά τους λογαριασμούς διαχειριστή για την επιβεβαίωση της εγκυρότητάς τους και να ανανεώνετε τακτικά τους κωδικούς πρόσβασης.
Είναι κρίσιμης σημασίας η ενίσχυση της ασφάλειας, καθώς hackers εκμεταλλεύονται συχνά αδύναμους κωδικούς πρόσβασης και ευπάθειες του WordPress για να εισχωρήσουν σε στοχευμένους ιστοτόπους. Σκοπός τους είναι να ορίσουν ψεύτικους διαχειριστές, οι οποίοι στη συνέχεια ενδέχεται να προβούν σε περαιτέρω επιβλαβείς ενέργειες, όπως η εγκατάσταση κακόβουλων backdoors.
Δείτε ακόμη: Crypto drainers υπάρχουν σε χιλιάδες ιστότοπους WordPress
“Οι χάκερς πιστωτικών καρτών συνήθως αναζητούν συγκεκριμένες λέξεις-κλειδιά όπως ‘checkout’ ή ‘onepage’, γεγονός που σημαίνει ότι οι επιθέσεις των hacker μπορεί να μην γίνουν αντιληπτές μέχρι να φορτωθεί πλήρως η σελίδα ολοκλήρωσης της αγοράς,” δήλωσε ο Morrow.
Δεδομένου ότι οι σελίδες ολοκλήρωσης αγορών διαμορφώνονται χρησιμοποιώντας cookies και άλλα στοιχεία, τα σενάρια αυτά διαφεύγουν την ανίχνευση από τους σαρωτές. Ο μοναδικός τρόπος αντιμετώπισης του κακόβουλου λογισμικού είναι ο έλεγχος του source-code της σελίδας ή η παρακολούθηση της δικτυακής κίνησης. Τα εν λόγω σενάρια εκτελούνται με διακριτικότητα, παραμένοντας απαρατήρητα στο ιστορικό περιήγησης.
Η εταιρεία Sucuri αποκαλύπτει επίσης πως ιστότοποι δημιουργημένοι με WordPress και Magento βρίσκονται στο στόχαστρο ενός νέου κακόβουλου λογισμικού, του Magento Shoplift. Παραλλαγές του Magento Shoplift εντοπίστηκαν να εξαπλώνονται από τον Σεπτέμβριο του 2023, αυξάνοντας την ανάγκη για ασφάλεια.
Η διαδικασία της επίθεσης ξεκινά με την ενσωμάτωση ενός αόριστου τμήματος κώδικα JavaScript σε ένα νόμιμο αρχείο JavaScript. Αυτό το αρχικό βήμα είναι υπεύθυνο για την εκκίνηση της φόρτωσης ενός δεύτερου script από τη διεύθυνση jqueurystatics[.]com, χρησιμοποιώντας την ασφαλή σύνδεση WebSocket (WSS). Αυτό το δεύτερο script έχει ως στόχο να διευκολύνει την αποκόμιση δεδομένων από πιστωτικές κάρτες και την κλοπή πληροφοριών, ενώ παράλληλα παριστάνει ένα σκριπτ του Google Analytics.
“Το WordPress έχει γίνει κολοσσός στον τομέα του ηλεκτρονικού εμπορίου, χάρη στην ένταξη του Woocommerce και άλλων επεκτάσεων που μεταμορφώνουν άνετα έναν ιστότοπο WordPress σε ένα πλήρως λειτουργικό online κατάστημα”, δήλωσε ο ερευνητής Puja Srivastava.
Δείτε επίσης: BidenCash: Προσφέρει δωρεάν 1,9 εκατ. κλεμμένες πιστωτικές κάρτες
Η δημοφιλία του WordPress τα καθιστά κύριο στόχο για επιθέσεις, με τους hacker να προσαρμόζουν το κακόβουλο λογισμικό MageCart για ηλεκτρονικό εμπόριο, στοχεύοντας πλέον ένα ευρύτερο φάσμα πλατφορμών διαχείρισης περιεχομένου (CMS).
Πηγή: thehackernews