Watafiti wa usalama wa mtandao wanatahadharisha kuhusu kampeni mpya ya siri ya mchezo wa kucheza kadi za mkopo ambayo inalenga kurasa za malipo za biashara ya mtandaoni za WordPress kwa kuingiza msimbo hasidi wa JavaScript kwenye jedwali la hifadhidata linalohusishwa na mfumo wa kudhibiti maudhui (CMS). “Programu hii ya programu hasidi ya kadi ya mkopo inayolenga tovuti za WordPress huingiza JavaScript hasidi kimyakimya kwenye maingizo ya hifadhidata ili kuiba maelezo nyeti ya malipo,” mtafiti wa Sucuri Puja Srivastava alisema katika uchanganuzi mpya. “Programu hasidi huwashwa haswa kwenye kurasa za malipo, kwa kuteka nyara sehemu za malipo zilizopo au kuingiza fomu ya kadi ya mkopo ghushi.” Kampuni ya usalama ya tovuti inayomilikiwa na GoDaddy ilisema iligundua programu hasidi iliyopachikwa kwenye jedwali la WordPress wp_options kwa chaguo “widget_block,” na hivyo kuiruhusu kuzuia kugunduliwa kwa zana za kuchanganua na kuendelea kwenye tovuti zilizoathiriwa bila kuvutia tahadhari. Kwa kufanya hivyo, wazo ni kuingiza JavaScript hasidi kwenye wijeti ya kuzuia HTML kupitia paneli ya msimamizi ya WordPress (wp-admin > wijeti). Msimbo wa JavaScript hufanya kazi kwa kuangalia ikiwa ukurasa wa sasa ni ukurasa wa kulipa na inahakikisha kwamba inatekelezwa tu baada ya mgeni wa tovuti anakaribia kuweka maelezo yake ya malipo, ambapo inaunda kikamilifu skrini ya malipo ya uwongo ambayo inaiga vichakataji halali. kama Stripe. Fomu imeundwa ili kunasa nambari za kadi ya mkopo, tarehe za mwisho wa matumizi, nambari za CVV na maelezo ya malipo. Vinginevyo, hati chafu pia ina uwezo wa kunasa data iliyoingizwa kwenye skrini halali za malipo katika muda halisi ili kuongeza uoanifu. Data iliyoibiwa baadaye husimbwa kwa Base64 na kuunganishwa na usimbaji fiche wa AES-CBC ili kuifanya ionekane kuwa haina madhara na kupinga majaribio ya uchanganuzi. Katika hatua ya mwisho, inatumwa kwa seva inayodhibitiwa na mshambulizi (“valhafather[.]xyz” au “fqbe23[.]xyz”). Maendeleo haya yanakuja zaidi ya mwezi mmoja baada ya Sucuri kuangazia kampeni kama hiyo ambayo ilitumia programu hasidi ya JavaScript kuunda fomu bandia za kadi ya mkopo au kutoa data iliyoingizwa katika sehemu za malipo kwenye kurasa za malipo. Maelezo yaliyovunwa yatafichwa kwa tabaka tatu. kwa kuisimba kwanza kama JSON, XOR-kusimbua kwa ufunguo “hati,” na mwishowe kutumia usimbaji wa Base64, kabla ya kuchujwa kwa seva ya mbali. (“fonts[.]com”). “Hati imeundwa ili kutoa maelezo nyeti ya kadi ya mkopo kutoka sehemu mahususi kwenye ukurasa wa kulipa,” Srivastava alibainisha. “Kisha programu hasidi hukusanya data ya ziada ya mtumiaji kupitia API za Magento, ikiwa ni pamoja na jina la mtumiaji, anwani, barua pepe, nambari ya simu. , na maelezo mengine ya malipo. Data hii inarejeshwa kupitia data ya mteja na mifano ya bei ya Magento.” Ufichuzi huo pia unafuatia ugunduzi wa kampeni ya barua pepe ya ulaghai inayochochewa kifedha ambayo huwahadaa wapokeaji kubofya kurasa za kuingia kwenye PayPal kwa kisingizio cha ombi la malipo ambalo halijalipwa kwa takriban. $2,200 “Mlaghai anaonekana kuwa amesajili kikoa cha majaribio cha Microsoft 365, ambacho hakina malipo kwa miezi mitatu, na kisha kuunda orodha ya usambazaji. (Idara za malipo1[@]gkjyryfjy876.onmicrosoft.com) zenye barua pepe za mwathirika,” Carl Windsor wa Fortinet FortiGuard Labs alisema. “Kwenye tovuti ya PayPal, wanaomba pesa na kuongeza orodha ya usambazaji kama anwani.” Kinachofanya kampeni kuwa ya ujanja ni ukweli kwamba jumbe hizo hutoka kwa anwani halali ya PayPal (service@paypal.com) na zina URL halisi ya kuingia, ambayo inaruhusu barua pepe Ili kufanya mambo kuwa mabaya zaidi, mara tu mwathiriwa anapojaribu kuingia kwenye akaunti yake ya PayPal kuhusu ombi la malipo, akaunti yake inaunganishwa kiotomatiki na anwani ya barua pepe ya orodha ya usambazaji, na hivyo kumruhusu mhusika tishio kuteka nyara udhibiti wa akaunti Katika wiki za hivi majuzi, waigizaji hasidi pia wameonekana kutumia mbinu mpya inayoitwa uigaji wa shughuli ili kuiba pesa za siri kutoka kwa pochi za waathiriwa uigaji kama kipengele kinachofaa mtumiaji,” Scam Sniffer alisema. “Uwezo huu unaruhusu watumiaji kuhakiki matokeo yanayotarajiwa ya miamala yao kabla ya kuwatia sahihi. Ingawa imeundwa ili kuongeza uwazi na uzoefu wa mtumiaji, washambuliaji wamepata njia za kutumia utaratibu huu.” Misururu ya maambukizi inahusisha kuchukua fursa ya pengo la muda kati ya uigaji wa shughuli na utekelezaji, kuruhusu wavamizi kuanzisha tovuti bandia wakiiga programu zilizogatuliwa (DApps) ili kufanya mashambulizi ya ulaghai ya kuondoa pochi “Vekta hii mpya ya uvamizi inawakilisha mageuzi makubwa katika mbinu za kuhadaa ili kupata maelezo ya kibinafsi,” mtoa huduma wa ufumbuzi wa ulaghai wa Web3 alisema. “Badala ya kutegemea udanganyifu rahisi, wavamizi sasa wanatumia vipengele vya pochi vinavyoaminika ambavyo watumiaji hutegemea kwa usalama. Mbinu hii ya kisasa hurahisisha ugunduzi kuwa ngumu sana.” Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply