محققان امنیتی بدافزار جدیدی را برای سیستم مدیریت محتوای وردپرس کشف کردهاند که امکان جمعآوری اطلاعات از فروشگاههای WooCommerce را برای مجرمان سایبری فراهم کرده و به آنها کمک میکند تا برای راهاندازی حملات skimming، وبسایتها را به خطر بیاندازند.
افزونهی WooCommerce، یک افزونهی متنباز و بسیار محبوب تجارت الکترونیک برای وردپرس است که به صاحبان وبسایتها اجازه میدهد تا بهراحتی فروشگاه آنلاین خود را راهاندازی کنند. این افزونه با بیش از ۵میلیون نصب، یکی از بزرگترین بسترهای تجارت الکترونیک بوده و اغلب برای منافع مالی مورد هدف مجرمان سایبری قرار میگیرد.
به گفتهی محققان، بخشی از یک پویش در جریان كه افزونههای آسيبپذير وردپرس را هدف قرار میدهد، با استفاده از یک كد مخرب بررسی میکند که آیا وبسایتها از افزونهی WooCommerce استفاده میكنند یا خیر، و سپس، دادههای مربوط به آن را جستجو میكند. پس از بهرهبرداری اولیه، یک فایل مخرب به محیط میزبانی وبسایت تزریق شده و امکان نقشهبرداری از آنچه که کاربر/مالک فایل به آن دسترسی دارد، را برای مهاجمان فراهم میکند.
از سوی دیگر، این بدافزار که به زبان PHP نوشته شده است، مجموعهای از توابع مورد استفاده برای جستجوی سایر وبسایتها وردپرس را ایجاد کرده و برای جمعآوری دادههای WooCommerce، به پایگاه دادهی آنها متصل میشود.
یكی از توابع تعریفشده در فایل مخرب، بهصورت بازگشتی دایرکتوریهای محیط را جستجو کرده و در هر دایرکتوری، بهدنبال wp-config.php و سپس، دایرکتوری پیشفرض /wp-content/plugins/woocommerce/ میگردد. درصورت پیداشدن دایرکتوری دوم، انتظار میرود که دادههای مربوط به WooCommerce در آرایهی متغیر woo[]$ ذخیره شوند. این بدافزار همچنین تابعی را برای استخراج دادههای ورودی MySQL از فایلهای wp-config.php موجود و تابع دیگری را بهمنظور استفاده از گواهینامههای استخراجشده برای دسترسی به پایگاه دادهی وردپرس پیادهسازی میکند.
این بدافزار در مجموع سه جستار SQL را به پایگاه دادهی وردپرس ارسال میکند که شامل دریافت تعداد سفارشها، جستجوی دادههای ردیف سفارشها در جدول پستهای قرار داده شده بعد از اول مارس ۲۰۲۰ و جستجوی جدول postmeta برای دادههای مربوط به سفارشهای ایجادشده در اول مارس یا بعد از آن، هستند. این موضوع به مهاجمان اجازه میدهد تا تعیین کنند که آیا فروشگاه به خطرافتاده فعال است و آیا اخیراً معاملاتی انجام داده است یا خیر.
علاوهبراین، این بدافزار سه درب پشتی را در هر دایرکتوری شناساییشده ایجاد کرده و سپس، URL مربوط به درب پشتی را برای مهاجم ارسال میکند. به گفتهی محققان امنیتی، هیچیک از دربهای پشتی شامل skimmers مخصوص افزونهی WooCommerce نیستند. بااینحال، اعتقاد بر این است که مهاجمان قصد دارند در آینده حملههای skimmer را علیه وبسایتهای WooCommerce دارای درب پشتی، راهاندازی کنند. درصورتیکه این دربهای پشتی حذفشده و مهاجمان دسترسی به وبسایت را از دست بدهند، آنها هنوز دادههای مشتریان را در اختیار دارند. این دادهها میتوانند برای اهداف سرقت هویت فروخته شوند.
در نهایت، محققان اظهار داشتند، از آنجایی که این بدافزار در قسمت front وبسایت بارگیری نمیشود، بهترین روش شناسایی آن یک اسکنر سمت سرور است که بتواند تغییرات سیستم فایل را کنترل کرده و برای شناسایی شاخصهای سازش، تنها به بارگیری یک وبسایت متکی نباشد.