Cybersecurity onderzoekers van Sucuri waarschuwen voor een bijzonder discrete campagne waarbij WordPress creditcard skimmers het gericht hebben op checkout pagina’s van webshops. Bovendien hebben ze een manier gevonden om detectie door malware scanners te omzeilen.
WordPress creditcard skimmers injecteren zichzelf in database
Normaal gesproken worden malafide plugins of themabestanden gebruikt om malware in WordPress sites te verspreiden. Bij deze campagne pakken de creditcard skimmers het anders aan; ze injecteren in feite zichzelf in de database van WordPress ecommerce sites. Daardoor wordt de malafide code niet door malware scanners gedetecteerd en blijven ze lang genoeg onopgemerkt om gevoelige data te stelen.
Sucuri’s Puja Srivastava legde in een blogpost uit hoe dit in zijn werk gaat:
De malafide JavaScript code wordt versleuteld in de wp_options tabel van de WordPress database geplaatst. Het script controleert of de URL van de pagina de term ‘checkout’ bevat en sluit het woord ‘cart’ uit. Op die manier zorgen ze dat de malware pas wordt geactiveerd wanneer een bezoeker op het punt staat zijn creditcardgegevens in te voeren
Het script creëert een dynamisch betaalformulier dat lijkt op legitieme services zoals die van Stripe. Dit neppe formulier bevat velden voor onder andere het creditcardnummer, de vervaldatum en CVV. Als er al een legitiem betaalformulier op de pagina staat, dan kunnen ze deze ‘gijzelen’ – het script registreert dan in real time de gegevens die in deze velden worden ingevoerd. Op die manier kunnen de creditcard skimmers de creditcardgegevens van online shoppers stelen, zonder dat zij iets door hebben.
Ook over het hierop volgende proces lijken de skimmers goed nagedacht te hebben. De gestolen gegevens worden gecodeerd, versleuteld en verstuurd naar een externe server gestuurd die door de aanvaller wordt beheerd. Dit alles zonder dat het invloed heeft op de gebruikerservaring.
Checken op malware
Je WordPress site beschermen tegen malware is heel belangrijk, zeker als je gevoelige gegevens verwerkt. Kunnen klanten van jouw WordPress webshop creditcardbetalingen verrichten? Dan is het raadzaam om even handmatig te checken op malware die misschien niet door je malwarescanner gedetecteerd is. Dit doe je door in te loggen op je WordPress dashboard en naar Weergave > Widgets te navigeren. Vervolgens controleer je alle custom HTML widget blokken op verdachte of onbekende <script> tags.