بدافزار وردپرس فروشگاه‌های WooCommerce را هدف قرار می‌دهد

پژوهش‌گران نوعی بدافزار وردپرس کشف کرده‌اند که به مجرمان سایبری اجازه می‌دهد تا اطلاعات را از فروشگاه‌های WooCommerce جمع‌آوری کند و به آن‌ها کمک می‌کند تا وب‌گاه‌های آسیب‌دیده را در معرض حملات بعدی قرار دهند.

WooCommerce یک افزونه‌ی eCommerce متن‌باز محبوب وردپرس است که به صاحبان وب‌گاه اجازه می‌دهد تا فروشگاه آنلاین خود را به‌سادگی راه‌اندازی کنند. این افزونه با بیش از ۵ میلیون بار نصب یکی از بسترهای eCommerce بزرگ است و اغلب توسط مجرمان سایبری برای دست‌یابی به منافع مالی هدف قرار می‌گیرد.

شرکت امنیت وب Sucuri اعلام کرد که حملاتی که بخشی از پویش فعال فعلی هستند، افزونه‌های وردپرس آسیب‌پذیری را هدف قرار می‌دهند که از کد مخرب طراحی‌شده برای تشخیص استفاده‌ی وب‌گاه‌ها از WooCommerce استفاده می‌کنند و سپس داده‌ی مربوط به آن را درخواست می‌کنند.

پس از بهره‌برداری اولیه، یک فایل مخرب در محیط میزبانی وب‌گاه تزریق می‌شود که به مهاجمان این امکان را می‌دهد تا تعیین کنند کاربر صاحب فایل چه دسترسی‌هایی داشته باشد.

این بدافزار که در PHP نوشته شده است، مجموعه‌ای از توابع مورداستفاده برای جستجوی سایر وب‌گاه‌های وردپرس را ایجاد می‌کند و به‌منظور جمع‌آوری داده‌های WooCommerce به پایگاه داده‌ی آن‌ها متصل می‌شود.

یکی از توابع تعریف‌شده در فایل مخرب، به‌طور بازگشتی مسیرهای اطراف را جستجو می‌کند و در هر مسیر به دنبال فایل wp-config.php می‌گردد و سپس مسیر پیش‌فرض /wp-content/plugins/woocommerce را جستجو می‌کند.

درصورتی‌که مسیر دوم پیدا شود، انتظار می‌رود داده‌ی مربوط به WooCommerce در آرایه‌ی متغیر $woo[] ذخیره شود. این بدافزار همچنین یک تابع را برای استخراج داده‌ی ورود MySQL از فایل‌های wp-config.php و تابع دیگری را برای استفاده از گواهی‌نامه‌های استخراج‌شده به‌منظور دسترسی به پایگاه‌داده‌ی وردپرس پیاده‌سازی می‌کند.

این بدافزار در مجموع ۳ کوئری SQL را به پایگاه داده‌ی وردپرس ارسال می‌کند تا تعداد orderها، کوئری‌ها و داده‌های خام مربوط به orderها را در جدول postmeta به دست آورد. این کار به مهاجمان اجازه می‌دهد تا بفهمند که آیا فروشگاه آسیب‌دیده فعال است یا خیر و آیا به‌تازگی تراکنشی انجام داده است یا خیر؟

علاوه‌برآن، این بدافزار ۳ درب‌پشتی را در هر یک از مسیرهای شناسایی‌شده توزیع می‌کند و سپس آدرس‌های اینترنتی اولین درب‌پشتی را در اختیار مهاجم قرار می‌دهد.

پژوهش‌گران امنیتی Sucuri بیان کردند که درصورتی‌که درب‌های پشتی حذف شوند و مهاجمان دسترسی خود را از دست بدهند، آن‌ها همچنان داده‌ی مشتری را که ممکن است برای اهداف جعل هویت به فروش برسند، در اختیار خواهند داشت.

به‌گفته‌‌ی پژوهش‌گران، اگرچه این بدافزار هنوز نیاز به اصلاح دارد، اما نمونه‌ی خوبی از نحوه‌ی سوءاستفاده از دسترسی غیرمجاز برای شناسایی اهداف جدید در محیط‌های میزبانی آسیب‌دیده است.

Sucuri بیان می‌کند که از آن‌جا که این بدافزار در قسمت front وب‌گاه بارگذاری نمی‌شود، به خوبی با یک اسکنر سمت سرور که می‌تواند سیستم فایل را برای یافتن تغییرات کنترل کند، شناسایی می‌شود.

منبع

پست‌های مشابه

Leave a Comment