تحذر الباحثات من برنامج ضار غير ملحوظ يسرق معلومات الدفع من مواقع ووردبريس
باحثو الأمن السيبراني في Sucuri ينبهون أصحاب المواقع الإلكترونية عن نوع جديد من الهجمات السيبرانية التي تستهدف مواقع التجارة الإلكترونية على ووردبريس.
في عجلة من أمرك؟ ها هي الحقائق السريعة!
- يقوم البرنامج الضار بحقن جافا سكريبت الخبيثة في قاعدة بيانات ووردبريس لسرقة تفاصيل الدفع خلال عملية الدفع.
- يتفعل على صفحات الدفع ويقوم بالتقاط البيانات مثل أرقام البطاقات الائتمانية وأكواد CVV.
- البيانات المسروقة يتم تشفيرها وإرسالها إلى خوادم بعيدة يتحكم فيها المهاجمون.
هذا الهجوم، المعروف بحملة الاستيلاء على بطاقات الائتمان، مصمم لسرقة معلومات الدفع من العملاء بشكل سري. يعمل البرنامج الخبيث في الخلفية، يقوم بحقن الشيفرة الخبيثة في قاعدة بيانات موقع ووردبريس ويعرض صفحات الدفع حيث يدخل العملاء تفاصيل الدفع الخاصة بهم.
البرمجيات الخبيثة ماكرة بشكل خاص لأنها لا تعتمد على إصابة ملفات الثيمات أو الإضافات، التي يتم فحصها عادة بحثاً عن الأكواد الخبيثة. بل تختبئ داخل قاعدة البيانات، مما يجعلها أكثر صعوبة في الكشف عنها.
بشكل خاص، يتم تضمين الكود الخبيث في جدول “wp_options”، وهو جزء حاسم من إعداد ووردبريس، كما لوحظ بواسطة Sucuri. هذا يسمح له بتجنب الكشف عنه عن طريق الأدوات الأمنية الشائعة والبقاء على المواقع المصابة بدون أن يتم الإزعاج منه.
بمجرد تفعيل البرامج الخبيثة، تستهدف صفحة الدفع، حيث يدخل المستخدمون أرقام بطاقات الائتمان الخاصة بهم، وتواريخ الانتهاء، وأكواد CVV. يبحث الكود الخبيث عن كلمة “الدفع” في عنوان الويب للتأكد من أنه يعمل فقط على صفحة الدفع، مما يمنع تشغيله في أجزاء أخرى من الموقع.
إما أن يضيف نموذج دفع مزيف أو يختطف النموذج الموجود بالفعل، مما يجعله يبدو كأن المستخدمين يقومون بإدخال تفاصيلهم على نموذج معالج الدفع المشروع، مثل Stripe.
عندما يدخل العملاء معلومات بطاقات الائتمان الخاصة بهم، يقوم البرنامج الخبيث بالتقاطها في الوقت الفعلي. لجعل البيانات المسروقة أكثر صعوبة في الكشف عنها، يقوم البرنامج الخبيث بتشويش المعلومات باستخدام تقنيات الترميز والتشفير، ثم يرسلها إلى خوادم بعيدة تحت سيطرة المهاجم.
يتم هذا العمل بصمت، بحيث لن يلاحظ العملاء أي شيء غير عادي أثناء إكمال عمليات الشراء. يتم بيع البيانات المسروقة بعد ذلك في الأسواق السرية أو استخدامها للمعاملات الاحتيالية، مما يعرض العملاء والشركات للخطر.
ما يجعل هذا الهجوم خطيرًا بشكل خاص هو أنه يعمل دون تعطيل عملية الدفع، لذا يظل المستخدمون غير مدركين لسرقة بياناتهم.
يقول الباحثون أن أصحاب المواقع يمكنهم حماية أنفسهم من خلال التحقق بانتظام من وجود أي أكواد مشبوهة في لوحة إدارة WordPress، وتحديداً تحت قسم “الواجهات الصغيرة” أو “Widgets”. ينبغي عليهم البحث عن أكواد جافا سكريبت غير مألوفة قد تشير إلى وجود برامج ضارة.
اترك تعليقًا
إلغاء