Исследователи из компании Sucuri, занимающейся безопасностью веб-сайтов, обнаружили новое вредоносное ПО WordPress, используемое субъектами угроз для сканирования и идентификации интернет-магазинов WooCommerce с большим количеством клиентов, которые будут задействованы в будущих атаках Magecart.

WooCommerce  - это плагин с открытым исходным кодом для WordPress с более чем 5 миллионами активных установок, разработанный для облегчения работы сайтов электронной коммерции, которые можно использовать для «продажи чего угодно и где угодно».

Нападение на интернет-магазины WooCommerce не является чем-то новым, как показали предыдущие атаки, которые пытались взломать интернет-магазины с помощью грубого взлома паролей администратора с конечной целью сбора кредитных карт (также называемых атаками Magecart), о чем подробно рассказывает Виллем де Сангвина Гроот  два года назад .

Багги плагины, используемые для взлома интернет-магазинов

Чтобы взломать интернет-магазины на основе WooCommerce и удалить это новое вредоносное ПО, хакеры используют уязвимости безопасности, обнаруженные в других плагинах WordPress. Используя эти недостатки, они смогут получить доступ к внутренней структуре интернет-магазина, выяснить, использует ли сайт платформу WooCommerce, а затем собрать и отфильтровать информацию об установке WooCommerce на серверах, контролируемых злоумышленниками.

«Важно отметить , что по умолчанию, WooCommerce плагин не хранит данные платежных карты - злоумышленники не могут просто украсть конфиденциальные платежные реквизиты из базы данных WordPress». Объясняет специалист по безопасности Люк Лил из Sucuri.
Вредоносная программа устанавливается в виде вредоносного PHP-скрипта как часть этапа после эксплойта, который следует за успешной компрометацией уязвимого сайта WordPress.

Извлечение учетных данных базы данных

Этот сценарий используется для сканирования других целей WordPress, подключения к их базам данных и запроса к ним информации WooCommerce. Он также извлекает учетные данные базы данных MySQL, что позволяет ему получать доступ к базе данных WordPress скомпрометированного магазина и выполнять запросы SQL, предназначенные для сбора информации, относящейся к WooCommerce, включая общее количество заказов и платежей в магазине.

Magecart или разведка боем

Хотя Sucuri не уточнила, для чего эта информация может использоваться, операторы вредоносных программ могут использовать украденные данные о заказах и платежах, чтобы решить, стоит ли развертывать скиммеры, специально предназначенные для электронных магазинов WooCommerce. Это позволило бы им сосредоточить свои «усилия» на интернет-магазинах, которые получают большой трафик и заказы, и не тратить свое время на интернет-магазины, которые либо неактивны, либо не имеют большого количества покупателей.

Одна такая кампания Magecart, нацеленная только на магазины WooCommerce, была замечена Sucuri месяц назад, когда воров с кредитными картами наблюдали, когда они вводили специальный скиммер для карт, основанный на jаvascript, который собирал номера кредитных карт и коды безопасности карт (CVV).

Развертывание бэкдоров

Вредоносная программа WordPress также развернет три бэкдора на зараженных веб-сайтах, что может быть очень полезно, если злоумышленники решат вернуться и развернуть веб-скиммер.

«Это вредоносное ПО является отличным примером злоумышленников, использующих несанкционированный доступ для определения новых потенциальных целей в скомпрометированных средах размещения, - заключил Лил.
Это также демонстрирует, как может происходить заражение между сайтами, создавая несколько бэкдоров в каталогах за пределами текущего каталога зараженного сайта».