بدافزار SKIMMER در سایت‌های تجارت الکترونیک مبتنی بر WOOCOMMERCE

به گزارش کارگروه امنیت سایبربان ؛ افزونه WooCommerce یک افزونه متن‌باز ورد پرس با بیش از 5 میلیون نصب فعال است که اجرای سایت‌های تجارت الکترونیکی را آسان‌تر می‌کند. این افزونه محبوب‌ترین افزونه رایگان تجارت الکترونیک ورد پرس است؛ که روی هر وب‌سایت سازگار با ورد پرس قابل‌نصب بوده و دارای قابلیت شخصی‌سازی است. همچنین به‌راحتی در theme ورد پرس وب‌سایت ادغام‌شده و به همراه بخش‌های دیگر وب‌سایت اجرا می‌شود. پس از نصب، WooCommerce به داشبورد ورد پرس وب‌سایت افزوده‌شده و به همراه ابزارهای آماری و گزارش دهی خود کمک می‌کند تا امور تجارت الکترونیک مانند افزودن محصولات و فروش، مدیریت شوند.

افزونه WooCommerce میلیون‌ها وب‌سایت تجارت الکترونیک را در سراسر دنیا راه‌اندازی کرده است و مستقیماً از وب‌سایت ورد پرس در دسترس است، یا توسط بیشتر شرکت‌های میزبانی وب ارائه می‌شود. این افزونه به توسعه‌دهندگان و کاربران جدید که تجربه‌ای در توسعه وب ندارند، اجازه می‌دهد تا از درون یک وب‌سایت ورد پرسی، فروشگاه‌های آنلاین کاملاً کاربردی و جذاب طراحی کنند.

اخیراً سارقان کارت اعتباری سایتهای WooCommerce را با skimmerهای جدید هدف قرار می‌دهند. آن‌ها سایت‌های تجارت الکترونیکی ورد پرس که از افزونه WooCommerce استفاده می‌کنند را با استفاده از یک بدافزار skimmer اختصاصی کارت مبتنی بر جاوا اسکریپت(به‌جای تلاش برای هدایت پرداخت‌ها به حساب‌های تحت کنترل مهاجم) هدف قرار می‌دهند.

در اکتبر 2019، دفتر تحقیقات فدرال ایالات‌متحده (FBI) هشدارهایی در مورد تهدیدات skimming اینترنتی که تجارت‌های کوچک و متوسط (SMB) و سازمان‌های دولتی که از پرداخت‌های آنلاین استفاده می‌کنند را هدف گرفته بود، گزارش داد.

طبق نظر یک محقق امنیتی به نام Willem de Groot، مهاجمان در آگوست سال 2018 نیز تلاش می‌کردند فروشگاه‌های آنلاینی که از WooCommerce استفاده می‌کردند را با استفاده از brute-force کردن گذرواژه‌های admin هک کنند؛ بنابراین این اولین بار نیست که فروشگاه‌های اینترنتی WooCommerce با استفاده از حملات سرقت کارت‌های اعتباری (همچنین به‌عنوان حملات Magecart نیز شناخته می‌شوند) مورد هدف قرار می‌گیرند.

سایت‌های WooCommerce و سایر وب‌سایت‌های تجارت الکترونیکی مبتنی بر ورد پرس، درگذشته نیز هدف حملات بوده‌اند، اما معمولاً محدود به تغییر جزئیات پرداخت در تنظیمات افزونه (به‌طور مثال ارسال لیست پرداخت به ایمیل‌های PayPal مهاجم، به‌جای صاحب مجاز وب‌سایت) بودند. مشاهده یک کارت اعتباری اختصاصی که تحت تأثیر بدافزارهاست، در ورد پرس امری کاملاً جدید است.

روش جدید skimming کارت اعتباری

این حمله توسط محققی به نام Martin به دنبال گزارش‌های متعدد تراکنش‌های جعلی کارت‌ اعتباری از مشتریان، در سایت‌های تجارت الکترونیکی که از ورد پرس و WooCommerce استفاده می‌کنند، کشف شد.

بررسی کامل کلیه فایل‌های اصلی فروشگاه‌های اینترنتی تحت تأثیر، وجود فایل‌های مخربی در این گزارشات را نشان داد. فایل‌هایی که دارای کد مخرب بودند به انتهای فایل‌های به‌ظاهر بی‌ضرر جاوا اسکریپت اضافه شدند.

به گفته Martin، فهم کد جاوا اسکریپت به‌تنهایی مشکل است؛ بنابراین این بدافزار شماره کارت اعتباری و CVV (کد امنیتی کارت) را در یک متن ساده به شکل کوکی ذخیره می‌کند.

همانند سایر بدافزارهای PHP، لایه‌های مختلفی از رمزگذاری و الحاق برای جلوگیری از تشخیص و مخفی شدن کد اصلی این بدافزار از مدیر وب‌سایت، استفاده می‌شوند. آنچه این حمله را برجسته می‌کند این است که عاملان تهدید به‌جای بارگذاری skimmer کارت جاوا اسکریپت از یک سایت شخص ثالث تحت کنترل خود، معمولاً آن را در فایل‌های اصلی کارت قرار می‌دهند.

از بین بردن ردپای مهاجمان

اطلاعات پرداختی کارت سرقت شده در دو فایل تصویری در دایرکتوری wp-content/uploads ذخیره می‌شوند. بااین‌حال skimmerهای کارت اعتباری ممکن است بتوانند قبل از تجزیه‌وتحلیل سایت‌های آلوده، ردپای خود را بپوشانند.

معمولاً تشخیص نقطه ورود مهاجمان برای آلوده کردن سایت‌های تجارت الکترونیکی به‌عنوان بخشی از حمله Magecart ساده است (یک حساب wp-admin، گذرواژه SFTP، گذرواژه میزبان یا بخشی از یک نرم‌افزار آسیب‌پذیر در محیط)، که در این نمونه آشکار نبود.

افرادی که نگران امنیت وب‌سایت ورد پرس خود هستند، باید ویرایش مستقیم فایل برای wp-admin را با اضافه کردن خط زیر به wp-config.php خود غیرفعال کنند:

define( ‘DISALLOW_FILE_EDIT’, true );

روش‌های مشابهی برای حمله به سایت‌های ورد پرس با استفاده از نوار پرداخت استفاده‌شده است که مهاجمان بارهای مخرب متفاوتی را برای هر نمونه به کار می‌گیرند.