افزونه WooCommerce یک افزونه متنباز وردپرس با بیش از 5 میلیون نصب فعال است که اجرای سایتهای تجارت الکترونیکی را آسانتر میکند. این افزونه محبوبترین افزونه رایگان تجارت الکترونیک وردپرس است؛ که روی هر وبسایت سازگار با وردپرس قابلنصب بوده و دارای قابلیت شخصیسازی است. همچنین بهراحتی در theme وردپرس وبسایت ادغامشده و به همراه بخشهای دیگر وبسایت اجرا میشود. پس از نصب، WooCommerce به داشبورد وردپرس وبسایت افزودهشده و به همراه ابزارهای آماری و گزارشدهی خود کمک میکند تا امور تجارت الکترونیک مانند افزودن محصولات و فروش، مدیریت شوند.
افزونه WooCommerce میلیونها وبسایت تجارت الکترونیک را در سراسر دنیا راهاندازی کرده است و مستقیماً از وبسایت وردپرس در دسترس است، یا توسط بیشتر شرکتهای میزبانی وب ارائه میشود. این افزونه به توسعهدهندگان و کاربران جدید که تجربهای در توسعه وب ندارند، اجازه میدهد تا از درون یک وبسایت وردپرسی، فروشگاههای آنلاین کاملاً کاربردی و جذاب طراحی کنند.
اخیراً سارقان کارت اعتباری سایتهای WooCommerce را با skimmerهای جدید هدف قرار میدهند. آنها سایتهای تجارت الکترونیکی وردپرس که از افزونه WooCommerce استفاده میکنند را با استفاده از یک بدافزار skimmer اختصاصی کارت مبتنی بر جاوااسکریپت(به جای تلاش برای هدایت پرداختها به حسابهای تحت کنترل مهاجم) هدف قرار میدهند.
در اکتبر 2019، دفتر تحقیقات فدرال ایالات متحده (FBI) هشدارهایی در مورد تهدیدات skimming اینترنتی که تجارتهای کوچک و متوسط (SMB) و سازمانهای دولتی که از پرداختهای آنلاین استفاده میکنند را هدف گرفته بود، گزارش داد.
طبق نظر یک محقق امنیتی به نام Willem de Groot، مهاجمان در آگوست سال 2018 نیز تلاش میکردند فروشگاههای آنلاینی که از WooCommerce استفاده میکردند را با استفاده از brute-force کردن گذرواژههای admin هک کنند؛ بنابراین این اولین بار نیست که فروشگاههای اینترنتی WooCommerce با استفاده از حملات سرقت کارتهای اعتباری (همچنین بهعنوان حملات Magecart نیز شناخته میشوند) مورد هدف قرار میگیرند.
سایتهای WooCommerce و سایر وبسایتهای تجارت الکترونیکی مبتنی بر وردپرس، در گذشته نیز هدف حملات بودهاند، اما معمولاً محدود به تغییر جزئیات پرداخت در تنظیمات افزونه (بهطور مثال ارسال لیست پرداخت به ایمیلهای PayPal مهاجم، بهجای صاحب مجاز وبسایت) بودند. مشاهده یک کارت اعتباری اختصاصی که تحت تأثیر بدافزارهاست، در وردپرس امری کاملاً جدید است.
1. روش جدید skimming کارت اعتباری
این حمله توسط محققی به نام Martin به دنبال گزارشهای متعدد تراکنشهای جعلی کارت اعتباری از مشتریان، در سایتهای تجارت الکترونیکی که از وردپرس و WooCommerce استفاده میکنند، کشف شد.
بررسی کامل کلیه فایلهای اصلی فروشگاههای اینترنتی تحت تأثیر، وجود فایلهای مخربی در این گزارشات را نشان داد. فایلهایی که دارای کد مخرب بودند به انتهای فایلهای به ظاهر بیضرر جاوااسکریپت اضافه شدند.
به گفته Martin، فهم کد جاوااسکریپت بهتنهایی مشکل است؛ بنابراین این بدافزار شماره کارت اعتباری و CVV (کد امنیتی کارت) را در یک متن ساده به شکل کوکی ذخیره میکند.
همانند سایر بدافزارهای PHP، لایههای مختلفی از رمزگذاری و الحاق برای جلوگیری از تشخیص و مخفی شدن کد اصلی این بدافزار از مدیر وبسایت، استفاده میشوند. آنچه این حمله را برجسته میکند این است که عاملان تهدید بهجای بارگذاری skimmer کارت جاوااسکریپت از یک سایت شخص ثالث تحت کنترل خود، معمولاً آن را در فایلهای اصلی کارت قرار میدهند.
2. از بین بردن ردپای مهاجمان
اطلاعات پرداختی کارت سرقت شده در دو فایل تصویری در دایرکتوری wp-content/uploads ذخیره میشوند. با این حال skimmerهای کارت اعتباری ممکن است بتوانند قبل از تجزیه و تحلیل سایتهای آلوده، ردپای خود را بپوشانند.
معمولاً تشخیص نقطه ورود مهاجمان برای آلوده کردن سایتهای تجارت الکترونیکی به عنوان بخشی از حمله Magecart ساده است (یک حساب wp-admin، گذرواژه SFTP، گذرواژه میزبان یا بخشی از یک نرمافزار آسیبپذیر در محیط)، که در این نمونه آشکار نبود.
افرادی که نگران امنیت وبسایت وردپرس خود هستند، باید ویرایش مستقیم فایل برای wp-admin را با اضافه کردن خط زیر به wp-config.php خود غیرفعال کنند:
define( ‘DISALLOW_FILE_EDIT’, true );
روشهای مشابهی برای حمله به سایتهای وردپرس با استفاده از نوار پرداخت استفاده شده است که مهاجمان بارهای مخرب متفاوتی را برای هر نمونه به کار میگیرند.
- 41