Egy csaló WordPress bővítmény miatt ellophatóak a bankkártya adatok

  • Post author:
  • Post category:Tech
Hirdetések
99bitcoin-tokens

A napokban felfedeztek egy hamis WordPress bővítményt, amely képes hamis rendszergazdai felhasználók létrehozására és rosszindulatú JavaScript kód beillesztésére, hogy ellopja a hitelkártyaadatokat.

A Sucuri szerint a lefölözési tevékenység egy e-kereskedelmi weboldalakat célzó Magecart-kampány része.

“Mint sok más rosszindulatú vagy hamis WordPress bővítmény, ez is tartalmaz néhány megtévesztő információt a fájl tetején, hogy a legitimitás látszatát keltse” – mondta Ben Martin biztonsági kutató. “Ebben az esetben a megjegyzések azt állítják, hogy a kód egy ‘WordPress Cache Addons’.”

A rosszindulatú bővítmények általában vagy egy kompromittált adminisztrátori felhasználó, vagy egy másik, az oldalra már telepített bővítmény biztonsági hiányosságainak kihasználása révén jutnak el a WordPress-oldalakra.

Kötelezőnek álcázza magát a csaló bővítmény

A telepítés után a bővítmény átmásolja magát a mu-plugins (vagyis a kötelezően használt pluginok) könyvtárba, így automatikusan engedélyezve van, és elrejti jelenlétét az admin panel elől.

obfuscated-hidden-injection

“Mivel a mu-pluginok bármelyikét csak úgy lehet eltávolítani, ha kézzel eltávolítjuk a fájlt, a kártevő mindent megtesz, hogy ezt megakadályozza” – magyarázta Martin. “A kártevő ezt úgy éri el, hogy leregisztrálja a horgok hívásvisszajelző funkcióit, amelyeket az ilyen pluginek általában használnak”.”

A csaló emellett lehetőséget kínál arra is, hogy létrehozzon és elrejtsen egy rendszergazdai felhasználói fiókot a legitim weboldal adminisztrátora elől, hogy elkerülje a vörös zászlókat, és hosszabb időn keresztül tartósan hozzáférjen a célponthoz.

A kampány végső célja a hitelkártya-lopó malware bejuttatása a pénztárgépes oldalakba, és az információk kiszivárgása egy mások által ellenőrzött domainre.

“Mivel sok WordPress-fertőzés veszélyeztetett wp-admin rendszergazda felhasználóktól származik, logikus, hogy a rendelkezésükre álló hozzáférési szintek korlátain belül kellett dolgozniuk, és a bővítmények telepítése minden bizonnyal a WordPress-adminok egyik legfontosabb képessége” – mondta Martin.

A hír hetekkel azután érkezett, hogy a WordPress biztonsági közössége figyelmeztetett egy adathalász-kampányra, amely egy független biztonsági hibára figyelmezteti a felhasználókat, és egy javítás ürügyén ráveszi őket egy bővítmény telepítésére. A bővítmény a maga részéről létrehoz egy admin felhasználót, és egy webes héjat telepít a tartós távoli hozzáféréshez.

A Sucuri szerint a kampány mögött álló fenyegető szereplők kihasználják a CVE-azonosítóhoz kapcsolódó “RESERVED” státuszt, ami akkor történik, ha azt egy CVE Numbering Authority (CNA) vagy biztonsági kutató számára fenntartották, de a részletek még nem ismertek.

sucuri hitelkartyacsalas wp bovitmeny

A weboldal-biztonsági cég egy másik Magecart-kampányt is felfedezett, amely a WebSocket kommunikációs protokollt használja a skimmer kód beillesztésére az online áruházak felületén. A kártevő aztán egy hamis “Complete Order” gombra kattintva aktiválódik, amely a törvényes pénztár gomb fölé van helyezve.

credit-card-skimmer-file-locations

Az Europol ezen a héten közzétett, az online csalásokról szóló kiemelt jelentése a digitális lefölözést olyan állandó fenyegetésként írta le, amely a hitelkártyaadatok ellopását, továbbértékesítését és visszaélését eredményezi. “A digitális lefölözés egyik fő fejleménye, hogy a front-end malware-ről a back-end malware-re vált, ami megnehezíti a felderítést” – áll a jelentésben.

Az uniós bűnüldöző hatóság közölte, hogy 443 online kereskedőt is értesített arról, hogy ügyfeleik hitelkártya- vagy fizetőkártyaadatait lefölözési támadások révén veszélyeztették.

Ez is érdekelhet:

Hirdetések

Nagy Béla

Kezdő szövegíró, és marketinges aki imádja a technológia világát. Kedvencei közé tartoznak az okostelefonok, és a számítógépek. De bármilyen Bluetooth-os kütyüvel eljátszik szabadidejében.