WordPress插件被滥用以在电子商务网站中安装电子刷卡(skimmer)

Sucuri研究人员观察到威胁行为者使用PHP片段WordPress插件在WooCommerce电子商店中安装恶意代码并窃取信用卡详细信息。在专家发现的攻击活动中，攻击者使用了一个名为Dessky Snippets的非常隐蔽的WordPress插件，该插件在撰写本文时只有几百个活跃安装。

Dessky Snippets是一个轻量级且简单的插件，允许用户轻松从WordPress管理界面添加自定义PHP代码。这次攻击活动发生在5月11日，研究人员观察到从同一天开始Dessky Snippets插件的下载量急剧增加。目前，这个WordPress插件已经有超过200个活跃安装。

攻击者利用Dessky Snippets插件来插入服务器端PHP信用卡电子刷卡(skimmer)。“这段恶意代码被保存在WordPress wp_options表中的dnsp_settings选项中，并旨在通过操纵结账表单并注入自己的代码来修改WooCommerce中的结账流程。”Sucuri发布的分析指出。恶意软件有两个主要组件。第一部分使用名为"twentytwenty_get_post_logos()"的虚假函数来钩入WooCommerce的结账表单。该函数向结账表单添加额外字段，以提前请求信用卡详细信息。第二部分涉及一个经过混淆的信用卡刷卡(skimmer)，用于监视特定参数的POST数据。当恶意软件检测到这些参数时，它将所有收集的结账和信用卡信息发送到第三方网址"hxxps://2of[.]cc/wp-content/"。研究人员注意到，攻击者使用的叠加层关联的结账表单已禁用自动填充功能，字段被设置为autocomplete="off"。

在假的结账表单上禁用自动填充功能是一种规避技巧，可以降低浏览器警告用户输入敏感信息的几率。直到手动填写，这些字段保持为空，使它们看起来像是交易的常规和必要输入，并减少了用户的怀疑。

报告总结道：“实质上，由于它们处理的宝贵数据，电子商务网站是黑客的主要目标。以下是保护您的在线店铺的简单指南：保持软件更新：定期更新您的CMS、插件、主题和任何第三方组件，以修补漏洞。使用强密码：确保所有帐户，包括管理员、sFTP和数据库凭据，都使用强大且唯一的密码。选择可信脚本：只整合来自信誉良好的来源的第三方JavaScript。避免不必要的第三方脚本。

监控威胁：定期检查您的网站是否存在恶意软件迹象、未经授权的更改或任何妥协指标。实施防火墙：使用Web应用程序防火墙来阻止恶意机器人、虚拟修补已知漏洞并过滤有害流量。设置CSP：建立内容安全策略（CSP）以防止点击劫持、跨站脚本（XSS）和其他威胁。”

原文始发于微信公众号（黑猫安全）：WordPress插件被滥用以在电子商务网站中安装电子刷卡(skimmer)