El nuevo malware de skimming explota el complemento WooCommerce

Los ataques de clonación de tarjetas suelen estar dirigidos a sitios de comercio electrónico para obtener credenciales. Sin embargo, todos tienen pocas cosas en común que detectan las infracciones con facilidad. Esto podría ser colocar código en los mismos lugares, o código similar visto en otros ataques como Magecart, o llevar al usuario a un sitio de pago diferente. Pero hay un grupo de skimmers que atacan activamente al WooCommerce Complemento de WordPress, que manipula el código JavaScript en profundidad y no es visto por los escaneos regulares.

Un nuevo método para robar

Ben Martín, un investigador de seguridad de sitios web de anaconda descubrió este nuevo ataque de malware de skimming en un sitio web de WooCommerce, que es diferente al que se vio anteriormente Ataques de Magecart. Esta nueva campaña está dirigida a sitios de comercio electrónico basados ​​en WordPress, que pueden usar complementos como WooCommerce, Shopify, etc., no solo para interceptar la página de pago para obtener detalles, sino para más.

Los atacantes aquí no son como las pandillas de Magecart en general, que modifican la página de pago para que sea falsa o dirigen a los usuarios a pagar a una dirección de correo electrónico de PayPal falsa en lugar de a los propietarios originales. ¡Los atacantes aquí están manipulando el archivo JavaScript básico que se utiliza para la causa del sitio web! Por lo tanto, las exploraciones generales iniciales de Martin no funcionaron, y esto solo se encontró después de verificaciones de integridad profundas.

WordPress: nuevo complemento de WooCommerce para eliminar malware
WordPress: nuevo complemento de WooCommerce para eliminar malware

El malware que se esconde en archivos de apariencia legítima dificulta su detección y eliminación. El dice, «Estaba alojado cerca del final de un Archivo JQuery: ./wp-includes/js/jquery/jquery.js, insertado antes del final jQuery.noConflict ();. « Además, también se realizaron varias capas de codificación y concatenación para evitar detecciones.

¡Roba y almacena credenciales en imágenes!

Después de extraer los detalles de la página de pago, las credenciales se almacenaron en formato de texto sin formato como cookies. Entonces usa un

file_put_contents función para almacenar credenciales en un.PNG o.JPEG formatos de imagen, que se definieron en el directorio wp-content / uploads. Esta es una nueva forma para que el atacante obtenga credenciales copiadas.

La investigación de Martin más tarde no encontró credenciales en estas imágenes, ya que cree que los detalles pueden haber enviado ya el dominio del atacante y el malware tiene una función automática para borrarlos todos cuando haya terminado. Esta sofisticación no se ve en ataques anteriores. Finalmente encontró una manera de manejar esto agregando el define (‘DISALLOW_FILE_EDIT’, verdadero);, para el tuyo Archivo wp-config.php: Esto incluso impide que el administrador edite archivos wp-admin desde el panel de control, pero esto es por seguridad.

A través de la: ThreatPost Fuente: Blog de Anaconda