هدف قرارگرفتن فروشگاه‌های WooCommerce توسط بدافزار جدید وردپرس

محققان امنیتی بدافزار جدیدی را برای سیستم مدیریت محتوای وردپرس کشف کرده‌اند که امکان جمع‌آوری اطلاعات از فروشگاه‌های WooCommerce را برای مجرمان سایبری فراهم کرده و به آن‌ها کمک می‌کند تا برای راه‌اندازی حملات skimming، وب‌سایت‎ها را به خطر بیاندازند.

افزونه‌ی WooCommerce، یک افزونه‌ی متن‌باز و بسیار محبوب تجارت الکترونیک برای وردپرس است که به صاحبان وب‌سایت‌ها اجازه می‌دهد تا به‌راحتی فروشگاه آنلاین خود را راه‌اندازی کنند. این افزونه با بیش از ۵میلیون نصب، یکی از بزرگترین بسترهای تجارت الکترونیک بوده و اغلب برای منافع مالی مورد هدف مجرمان سایبری قرار می‌گیرد.

به گفته‌ی محققان، بخشی از یک پویش در جریان كه افزونه‌های آسيب‌پذير وردپرس را هدف قرار می‌دهد، با استفاده از یک كد مخرب بررسی می‌کند که آیا وب‌سایت‌ها از افزونه‌ی WooCommerce استفاده می‌كنند یا خیر، و سپس، داده‌های مربوط به آن را جستجو می‌كند. پس از بهره‌برداری اولیه، یک فایل مخرب به محیط میزبانی وب‌سایت تزریق شده و امکان نقشه‌برداری از آن‌چه که کاربر/مالک فایل به آن دسترسی دارد، را برای مهاجمان فراهم می‌کند.

از سوی دیگر، این بدافزار که به زبان PHP نوشته شده است، مجموعه‌ای از توابع مورد استفاده برای جستجوی سایر وب‌سایت‌ها وردپرس را ایجاد کرده و برای جمع‌آوری داده‌های WooCommerce، به پایگاه داده‌ی آن‌ها متصل می‌شود.

یكی از توابع تعریف‌شده در فایل مخرب، به‌صورت بازگشتی دایرکتوری‌های محیط را جستجو کرده و در هر دایرکتوری، به‌دنبال wp-config.php و سپس، دایرکتوری پیش‌فرض /wp-content/plugins/woocommerce/ می‌گردد. درصورت پیداشدن دایرکتوری دوم، انتظار می‌رود که داده‌های مربوط به WooCommerce در آرایه‌ی متغیر woo[]$ ذخیره شوند. این بدافزار همچنین تابعی را برای استخراج داده‌های ورودی MySQL از فایل‌های wp-config.php موجود و تابع دیگری را به‌منظور استفاده از گواهی‌نامه‌های استخراج‌شده برای دسترسی به پایگاه داده‌ی وردپرس پیاده‌سازی می‌کند.

این بدافزار در مجموع سه جستار SQL را به پایگاه داده‌ی وردپرس ارسال می‌کند که شامل دریافت تعداد سفارش‌ها، جستجوی داده‌های ردیف سفارش‌ها در جدول پست‌های قرار داده شده بعد از اول مارس ۲۰۲۰ و جستجوی جدول postmeta برای داده‌های مربوط به سفارش‌های ایجادشده در اول مارس یا بعد از آن، هستند. این موضوع به مهاجمان اجازه می‌دهد تا تعیین کنند که آیا فروشگاه به خطرافتاده فعال است و آیا اخیراً معاملاتی انجام داده است یا خیر.

علاوه‌براین، این بدافزار سه درب پشتی را در هر دایرکتوری شناسایی‌شده ایجاد کرده و سپس، URL مربوط به درب پشتی را برای مهاجم ارسال می‌کند. به گفته‌ی محققان امنیتی، هیچ‌یک از درب‌های پشتی شامل skimmers مخصوص افزونه‌ی WooCommerce نیستند. بااین‌حال، اعتقاد بر این است که مهاجمان قصد دارند در آینده حمله‌های skimmer را علیه وب‌سایت‌های WooCommerce دارای درب پشتی، راه‌اندازی کنند. درصورتی‌که این درب‌های پشتی حذف‌شده و مهاجمان دسترسی به وب‌سایت را از دست بدهند، آن‌ها هنوز داده‌های مشتریان را در اختیار دارند. این داده‌ها می‌توانند برای اهداف سرقت هویت فروخته شوند.

در نهایت، محققان اظهار داشتند، از آن‌جایی که این بدافزار در قسمت front وب‌سایت بارگیری نمی‌شود، بهترین روش شناسایی آن یک اسکنر سمت سرور است که بتواند تغییرات سیستم فایل را کنترل کرده و برای شناسایی شاخص‌های سازش، تنها به بارگیری یک وب‌سایت متکی نباشد.

منبع

پست‌های مشابه

Leave a Comment