Badacze ostrzegają przed podstępnym malware’em kradnącym dane płatnicze ze stron WordPressa

Image by Luca Bravo, from Unsplash

Badacze ostrzegają przed podstępnym malware’em kradnącym dane płatnicze ze stron WordPressa

Przeczytasz w: 2 min

Data publikacji: Sty 15, 2025

Badacze z dziedziny cyberbezpieczeństwa z Sucuri ostrzegają właścicieli stron internetowych o nowym typie ataku cybernetycznego, który jest ukierunkowany na strony e-commerce na platformie WordPress.

W pośpiechu? Oto szybkie fakty!

  • Malware wstrzykuje szkodliwy JavaScript do bazy danych WordPressa, aby ukraść dane dotyczące płatności podczas realizacji zamówienia.
  • Aktywuje się na stronach realizacji zamówienia i przechwytuje dane, takie jak numery kart kredytowych i kody CVV.
  • Skradzione dane są szyfrowane i wysyłane do zdalnych serwerów kontrolowanych przez atakujących.

Ten atak, znany jako kampania skimmerów kart kredytowych, ma na celu potajemne kradzieże danych płatniczych klientów. Złośliwe oprogramowanie działa w tle, wprowadzając złośliwy kod do bazy danych strony WordPress i naruszając strony z płatnościami, gdzie klienci wprowadzają swoje dane płatnicze.

Oprogramowanie szkodliwe jest szczególnie podstępne, ponieważ nie polega na zainfekowaniu plików tematycznych lub wtyczek, które zazwyczaj są skanowane pod kątem złośliwego kodu. Zamiast tego, ukrywa się w bazie danych, co utrudnia jego wykrycie.

Konkretnie, złośliwy kod jest osadzony w tabeli „wp_options”, kluczowym elemencie konfiguracji WordPressa, jak zauważył Sucuri. Pozwala to uniknąć wykrycia przez typowe narzędzia bezpieczeństwa i pozostawać na zainfekowanych stronach niezauważonym.

Gdy malware jest aktywowany, atakuje stronę płatności, na której użytkownicy wprowadzają numery swoich kart kredytowych, daty ważności i kody CVV. Złośliwy kod wyszukuje słowo „checkout” w adresie internetowym, aby upewnić się, że uruchamia się tylko na stronie płatności, zapobiegając jego wywołaniu w innych częściach strony.

Dodaje albo fałszywy formularz płatności, albo przejmuje istniejący, sprawiając wrażenie, jakby użytkownicy wprowadzali swoje dane na formularzu prawdziwego procesora płatności, takiego jak Stripe.

Kiedy klienci wprowadzają informacje o swojej karcie kredytowej, malware przechwytuje je w czasie rzeczywistym. Aby utrudnić wykrycie skradzionych danych, malware przemiesza informacje przy użyciu technik kodowania i szyfrowania, a następnie wysyła je do zdalnych serwerów kontrolowanych przez atakującego.

Ten proces przebiega cicho, więc klienci nie zauważą niczego niezwykłego podczas dokonywania swoich zakupów. Skradzione dane są następnie sprzedawane na czarnych rynkach lub wykorzystywane do nielegalnych transakcji, co naraża zarówno klientów, jak i firmy.

To, co czyni ten atak szczególnie niebezpiecznym, jest to, że działa on bez zakłócania procesu płatności, więc użytkownicy nie zdają sobie sprawy, że ich dane są kradzione.

Badacze twierdzą, że właściciele stron internetowych mogą chronić się, regularnie sprawdzając podejrzany kod w panelu administracyjnym WordPressa, konkretnie w sekcji „Widgety”. Powinni szukać nieznanych kodów JavaScript, które mogą wskazywać na obecność złośliwego oprogramowania.

 

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...