[9]WordPress Skimmers通过将自己注入数据库表来逃避检测 ^繁體

网络安全研究人员警告说，一种新的隐蔽式信用卡盗刷活动以 WordPress 电子商务结账页面为目标，在与内容管理系统（CMS）相关的数据库表中插入恶意 JavaScript 代码。

“这种针对 WordPress 网站的信用卡盗刷恶意软件会在数据库条目中悄无声息地注入恶意 JavaScript，以窃取敏感的支付信息，”Sucuri 研究员 Puja Srivastava 在一份新的分析报告中说。

“该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。”

这家 GoDaddy 旗下的网站安全公司表示，它发现该恶意软件嵌入了 WordPress wp_options 表中的 “widget_block ”选项，从而使其能够避开扫描工具的检测，并在被入侵网站上持续存在而不引起注意。

这样做的目的是通过 WordPress 管理面板（wp-admin > widgets）将恶意 JavaScript 插入 HTML 块部件中。

JavaScript 代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才会启动，此时它会动态创建一个模仿 Stripe 等合法支付处理程序的虚假支付屏幕。

该表单旨在获取用户的信用卡号、有效期、CVV 码和账单信息。另外，流氓脚本还能实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。

窃取的数据随后会进行 Base64 编码，并结合 AES-CBC 加密，使其看起来无害并抵御分析尝试。在最后阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz ”或 “fqbe23[.]xyz”）。

Sucuri 在一个多月前也曾报道过类似的活动，利用 JavaScript 恶意软件动态创建虚假信用卡表单或提取在结账页面支付字段中输入的数据。

获取的信息在外泄到远程服务器（“staticfonts[.]com”）之前会经过三层混淆处理，首先将其编码为 JSON，然后用密钥 “script ”进行 XOR 加密，最后使用 Base64 编码。

斯里瓦斯塔瓦指出：“该脚本旨在从结账页面的特定字段中提取敏感的信用卡信息。然后，恶意软件通过 Magento 的 API 收集其他用户数据，包括用户姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型获取的。”

在此次披露之前，还发现了一个以财务为动机的网络钓鱼电子邮件活动，该活动以未清偿付款请求为幌子，诱骗收件人点击 PayPal 登录页面，金额高达近 2200 美元。

Fortinet FortiGuard 实验室的卡尔-温莎（Carl Windsor）说：“骗子似乎只是注册了一个微软 365 测试域名（免费使用三个月），然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]）。在 PayPal 门户网站上，他们只需请求付款，并将分发列表添加为地址。”

该活动的狡猾之处在于，这些邮件来自一个合法的 PayPal 地址 (service@)，并包含一个真实的登录 URL，这使得这些邮件能够通过安全工具。

更糟糕的是，一旦受害者试图登录他们的 PayPal 账户，了解付款请求，他们的账户就会自动链接到分发列表的电子邮件地址，从而允许威胁行为者劫持账户控制权。

最近几周，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者钱包中窃取加密货币。

Scam Sniffer 说：“现代 Web3 钱包将交易模拟作为一项用户友好功能。这项功能允许用户在签署交易之前预览交易的预期结果。虽然设计的目的是提高透明度和用户体验，但攻击者已经找到了利用这一机制的方法。”

感染链涉及利用交易模拟和执行之间的时间差，允许攻击者模仿去中心化应用程序（DApps）建立虚假网站，以实施欺诈性钱包抽水攻击。

Web3 反诈骗解决方案提供商表示：“这种新的攻击载体代表了网络钓鱼技术的重大演变。攻击者现在不再依靠简单的欺骗，而是利用用户所依赖的可信钱包功能来确保安全。这种复杂的方法使侦测变得特别具有挑战性。”

[来源: 安全客]