پژوهشگران نوعی بدافزار وردپرس کشف کردهاند که به مجرمان سایبری اجازه میدهد تا اطلاعات را از فروشگاههای WooCommerce جمعآوری کند و به آنها کمک میکند تا وبگاههای آسیبدیده را در معرض حملات بعدی قرار دهند.
WooCommerce یک افزونهی eCommerce متنباز محبوب وردپرس است که به صاحبان وبگاه اجازه میدهد تا فروشگاه آنلاین خود را بهسادگی راهاندازی کنند. این افزونه با بیش از ۵ میلیون بار نصب یکی از بسترهای eCommerce بزرگ است و اغلب توسط مجرمان سایبری برای دستیابی به منافع مالی هدف قرار میگیرد.
شرکت امنیت وب Sucuri اعلام کرد که حملاتی که بخشی از پویش فعال فعلی هستند، افزونههای وردپرس آسیبپذیری را هدف قرار میدهند که از کد مخرب طراحیشده برای تشخیص استفادهی وبگاهها از WooCommerce استفاده میکنند و سپس دادهی مربوط به آن را درخواست میکنند.
پس از بهرهبرداری اولیه، یک فایل مخرب در محیط میزبانی وبگاه تزریق میشود که به مهاجمان این امکان را میدهد تا تعیین کنند کاربر صاحب فایل چه دسترسیهایی داشته باشد.
این بدافزار که در PHP نوشته شده است، مجموعهای از توابع مورداستفاده برای جستجوی سایر وبگاههای وردپرس را ایجاد میکند و بهمنظور جمعآوری دادههای WooCommerce به پایگاه دادهی آنها متصل میشود.
یکی از توابع تعریفشده در فایل مخرب، بهطور بازگشتی مسیرهای اطراف را جستجو میکند و در هر مسیر به دنبال فایل wp-config.php میگردد و سپس مسیر پیشفرض /wp-content/plugins/woocommerce را جستجو میکند.
درصورتیکه مسیر دوم پیدا شود، انتظار میرود دادهی مربوط به WooCommerce در آرایهی متغیر $woo[] ذخیره شود. این بدافزار همچنین یک تابع را برای استخراج دادهی ورود MySQL از فایلهای wp-config.php و تابع دیگری را برای استفاده از گواهینامههای استخراجشده بهمنظور دسترسی به پایگاهدادهی وردپرس پیادهسازی میکند.
این بدافزار در مجموع ۳ کوئری SQL را به پایگاه دادهی وردپرس ارسال میکند تا تعداد orderها، کوئریها و دادههای خام مربوط به orderها را در جدول postmeta به دست آورد. این کار به مهاجمان اجازه میدهد تا بفهمند که آیا فروشگاه آسیبدیده فعال است یا خیر و آیا بهتازگی تراکنشی انجام داده است یا خیر؟
علاوهبرآن، این بدافزار ۳ دربپشتی را در هر یک از مسیرهای شناساییشده توزیع میکند و سپس آدرسهای اینترنتی اولین دربپشتی را در اختیار مهاجم قرار میدهد.
پژوهشگران امنیتی Sucuri بیان کردند که درصورتیکه دربهای پشتی حذف شوند و مهاجمان دسترسی خود را از دست بدهند، آنها همچنان دادهی مشتری را که ممکن است برای اهداف جعل هویت به فروش برسند، در اختیار خواهند داشت.
بهگفتهی پژوهشگران، اگرچه این بدافزار هنوز نیاز به اصلاح دارد، اما نمونهی خوبی از نحوهی سوءاستفاده از دسترسی غیرمجاز برای شناسایی اهداف جدید در محیطهای میزبانی آسیبدیده است.
Sucuri بیان میکند که از آنجا که این بدافزار در قسمت front وبگاه بارگذاری نمیشود، به خوبی با یک اسکنر سمت سرور که میتواند سیستم فایل را برای یافتن تغییرات کنترل کند، شناسایی میشود.