پارس آی سی تی
هشدار مركز ماهر؛

كشف كلاهبرداری جدید در وب سایت های وردپرس

كشف كلاهبرداری جدید در وب سایت های وردپرس

پارس آی سی تی: مركز ماهر نسبت به كشف كلاهبرداری های الكترونیكی جدید در وب سایت های وردپرس ( WordPress ) به سبب وجود ضعف امنیتی در سیستم های پرداختی آگهی داد.


به گزارش پارس آی سی تی به نقل از مرکز ماهر، حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال قبل تبدیل گشته و شرکت های تجاری بزرگی که از بستر Magento استفاده می نمایند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، لطمه دیده اند. هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستم های پرداختی و به دست آوردن اطلاعات کارت اعتباری زمان واردکردن آنها توسط مشتری است. مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کرده اند را دریافت می کنند، در صورتیکه در پس زمینه جنایتکاران داده های لازم را بمنظور کلاهبرداری کارت ضبط کرده اند. این حملات معمولاً تا زمانی که قربانی دارنده کارت شکایتی نکند، شناسایی نمی گردد. کارشناسان شرکت امنیتی Sucuri، یک نرم افزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت می باشد. این نرم افزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از لطمه پذیری های افزونه WooCommerce به کار گرفته می شود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستم فایل استفاده می نمایند و اطلاعات پرداختی درون تنظیمات افزونه WooCommerce را تغییر می دهند. اغلب تزریق های کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله جدید، کد جاوااسکریپت پیش از انتهای jQuery.noConflict تزریق شده است. قسمتی از اسکریپتی که اطلاعات کارت را ضبط می کند، در فایل «./wp-includes/rest-api/class-wp-rest-api.php» تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیره سازی آنها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه wp-content/uploads نگهداری می شوند، استفاده می نماید. این بدافزار مخرب جزئیات پرداخت را جمع آوری می کند و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در چارچوب کوکی ذخیره می کند. در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبوده اند؛ شرایطی که نشان میدهد بعد از به دست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایل ها است. همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در کوشش برای جلوگیری از شناسایی شدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده می شود. تنها نشانه بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاری شدن کد مخرب اضافه شده بود. اگر این حملات مقابل سایت های تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسان تر است. متأسفانه هنوز معین نمی باشد که مهاجمان چگونه در مرحله اول وارد سایت شده اند، اما به احتمال زیاد بوسیله به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک لطمه پذیری نرم افزار در WordPress یا WooCommerce این امر ممکن شده است. تمامی فروشگاه های تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را بوسیله تغییر در نام کاربری پیش فرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همین طور با بهره گیری از یک پسورد قوی، انجام داده است. علاوه بر تنظیمات امنیتی خاص مانند محدودکردن کوشش برای ورود به سیستم و استفاده از احراز هویت دوعاملی، به روزرسانی WordPress و افزونه WooCommerce هم مهم می باشد. همین طور متخصصان Sucuri به مدیران وب سایت های WordPress سفارش می کنند که ویرایش مستقیم فایل را برای wp-admin با اضافه کردن خط define ( ‘DISALLOW_FILE_EDIT’، true ); به فایل wp-config.php، غیرفعال کنند.


منبع:

1399/02/14
20:40:32
5.0 / 5
1305
تگهای خبر: بدافزار , خدمات , سایت , سیستم
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۲ بعلاوه ۴
آی سی تی پارس