WordPress 信用卡盗刷软件通过注入数据库表躲避检测

网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。

Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。”

“该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。”

这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。

通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。

JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。

该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。

随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。

这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。

收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。

Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。”

此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。

Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。”

该活动之所以狡猾，是因为邮件来自合法的PayPal地址（service@paypal.com），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。

更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。

近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。

Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。”

WordPress信用卡盗刷软件

感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。

Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”

---

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；