Devis de remise multi-licences
Sécurité informatique Attention aux webmasters ! Les skimmers de WordPress...

Attention aux webmasters ! Les skimmers de WordPress exploitent les tables de bases de données pour voler des informations de paiement

Par Mura en Sécurité informatique
Se traduisent par :
Français

Des experts en cybersécurité ont découvert une campagne de vol de cartes de crédit furtive et sophistiquée ciblant les sites Web WordPress. En intégrant du JavaScript malveillant dans les tables de base de données, ces voleurs contournent les méthodes de détection traditionnelles pour voler des informations de paiement sensibles. Cette menace alarmante souligne l'évolution des tactiques utilisées par les cybercriminels pour exploiter les plateformes de commerce électronique.

Comment fonctionne le logiciel malveillant de skimming

Les webmasters doivent toujours être à l'affût des codes JavaScript nuisibles, car cette exploitation par skimmer peut passer inaperçue. Les skimmers ciblent les sites de commerce électronique WordPress en injectant du code JavaScript malveillant dans la table wp_options sous l'option « widget_block ». Cette méthode permet au malware de se cacher à la vue de tous, évitant ainsi d'être détecté par la plupart des outils de sécurité. Une fois intégré, le malware profite de l'interface d'administration de WordPress pour injecter le code JavaScript nuisible dans les widgets de bloc HTML.

Activation sur les pages de paiement

Le script d'écrémage s'active uniquement sur les pages de paiement, où il :

  1. Détourne les champs de paiement existants – Modifie les champs légitimes pour intercepter les données de paiement.
  2. Injecte de faux formulaires de carte de crédit – Crée dynamiquement un formulaire de paiement qui imite les vrais processeurs comme Stripe.

Ces faux formulaires capturent des informations sensibles telles que les numéros de carte de crédit, les CVV et les informations de facturation. Le script peut également surveiller les formulaires de paiement légitimes et voler les données saisies en temps réel.

Obfuscation et exfiltration

Les données volées sont codées et cryptées pour résister à la détection :

  • Codage Base64 : convertit les données dans un format d'apparence inoffensive.
  • Cryptage AES-CBC : ajoute une couche de sécurité pour échapper à l'analyse.
  • Transmission de données : envoie les informations codées aux serveurs contrôlés par l'attaquant tels que valhafather[.]xyz ou fqbe23[.]xyz .

Une campagne de tromperie plus vaste

Cette attaque fait suite à des tentatives d'écrémage similaires, notamment une attaque dans laquelle un malware JavaScript a été utilisé pour créer dynamiquement de faux formulaires de paiement ou extraire des données de champs de paiement légitimes. Dans ce cas, les données ont été chiffrées à l'aide des méthodes JSON et XOR avant d'être envoyées à un serveur distant.

Vecteurs d'attaque supplémentaires

La sophistication de ces campagnes s'étend au-delà de WordPress :

  • E-mails de phishing PayPal : les acteurs malveillants envoient des e-mails à partir d'adresses PayPal légitimes pour inciter les utilisateurs à se connecter et à lier leurs comptes à des listes de distribution contrôlées par les attaquants.
  • Exploits de portefeuille de crypto-monnaie : les cybercriminels exploitent les fonctionnalités de simulation de transaction de portefeuille Web3 pour configurer de fausses applications décentralisées (DApps) et vider les portefeuilles pendant la phase d'exécution.

Protégez votre site Web et vos clients

Pour protéger les sites de commerce électronique WordPress contre ces menaces :

  1. Auditez régulièrement les tables de la base de données : concentrez-vous sur la table wp_options et les entrées inconnues.
  2. Mettre à jour et corriger WordPress : assurez-vous que tous les plugins et thèmes sont à jour pour atténuer les vulnérabilités.
  3. Implémentez des pare-feu d'applications Web (WAF) : bloquez les scripts malveillants avant qu'ils n'atteignent votre base de données.
  4. Surveiller l’activité anormale du panneau d’administration : faites attention aux modifications apportées aux widgets et aux blocs HTML.
  5. Sensibiliser les utilisateurs : avertir les clients des faux formulaires de paiement et des risques liés aux e-mails de phishing.

L’évolution des programmes de fraude par carte bancaire ciblant les sites WordPress souligne l’importance de pratiques de cybersécurité robustes. En intégrant du code malveillant directement dans les tables de base de données, ces campagnes sont plus difficiles à détecter et plus efficaces pour voler des données sensibles. Les propriétaires de sites Web doivent rester vigilants et proactifs dans la sécurisation de leurs plateformes afin de protéger à la fois leur entreprise et leurs clients contre ces menaces de plus en plus sophistiquées.

Chargement...