Credit Card Skimmer campaign targets WordPress via database injection
2025/01/13 SecurityAffairs — WordPress の CMS データベース・テーブルに、悪意の JavaScript を挿入して電子商取引サイトを狙う、ステルス型のクレジットカード・スキマー・キャンペーンについて、Sucuri の研究者たちが警告している。この攻撃者は、悪意のコードを WordPress の wp_options テーブルに隠し、widget_block に難読化された JavaScript を挿入してファイル・スキャンを回避し、持続性を維持しているという。
Sucuri が公開したポストには、「悪意のコードは、WordPress データベースの wp_options テーブルにおける、以下の行に埋め込まれていた。テーマやプラグインのファイルではなく、データベースへの挿入の達成により、このマルウェアは、一般的なファイル・スキャン・ツールによる検出を回避する。その結果として、侵害した WordPress サイト内で、秘密裏に存続する」と記されている:
option_name: widget_block
option_value: Contains obfuscated JavaScript code
専門家たちによる発見は、WordPress 管理パネル “wp-admin > widgets” を通じて、HTML block widget に、悪意のあるコードが挿入された点にある。
この JavaScript コードが標的にするのは、主としてチェックアウト・ページであり、ユーザーが支払い情報を入力しようするときに、アクティブになるという。また、Stripe などの正規のプロセッサを模倣する悪意のコードは、偽の支払い画面を動的に生成し、クレジットカード情報や請求情報などの機密情報を取得する。あるいは、互換性の高いスクリプトにより、実際の支払い画面で入力されたデータを、リアルタイムで傍受することも可能だという。
Sucuri が公開したレポートには、「このスクリプトは、ページの URL に “checkout” が含まれていて、”cart” が含まれていないことを確認する。それにより、ユーザーが支払い情報を送信する準備ができたときだけに、マルウェアのアクティブ化が可能になる。また、このスクリプトは、Stripe などの正規の支払いプロセッサを模倣する、偽の支払いフォームを動的に作成できる。それらのフォームに取り込まれたフィールドは、クレジットカード番号/有効期限/CVV/請求情報などで構成されている。その一方で、すでに正規の支払いフォームが存在する場合には、それらのフィールドに入力されたデータを、スクリプトによりリアルタイムで取得する」と記されている。
研究者たちは、「このアプローチにより、ユーザーは知らないうちに、機密の支払い情報を、攻撃者に提供してしまう」と指摘している。
このクレジットカード・スキマーは、盗んだデータを Base64 形式でエンコードし、AES-CBC で暗号化することで分析を困難にしている。それらの盗み出されたデータは、最終的に攻撃者が管理するサーバ (valhafather[.]xyz/fqbe23[.]xyz) へと送信される。
このマルウェアを削除するためには、WordPress 管理パネルにログインし、wp-admin > Appearance > Widgets へと移動する。そこで、すべての Custom HTML block widgets と、疑わしい <script> タグを削除する。
Sucuri のレポートは、「このクレジットカード・スキマーが示唆するのは、WordPress データベース内にマルウェアを隠し、機密性の高いチェックアウト・プロセスを標的にする手法を、攻撃者たちが進化させている状況である。偽の支払いフォームの挿入や、既存のフォームの乗っ取りにより、攻撃者は検出されることなく、支払いの詳細を密かに盗み出している」と、結論付けている。
このような、動的なクレジットカード・スキマーですが、2024/11/28 の「Magento Checkout Pages が標的:動的なクレジットカード・スキマーとは?」と、2024/08/25 の「Magento コマース・サイトへのスキマー注入:データ入力の瞬間にデータを傍受する手口とは?」でも、同じような問題が指摘されていました。コマースサイトを運営する方々は、十分に ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.