Hacker nutzen WordPress-Plugin, um Kreditkartendaten zu stehlen

Hacker haben ein wenig bekanntes WordPress-Plugin ausgenutzt, um Malware auf Websites zu injizieren und gezielt Kreditkarteninformationen von WooCommerce-Online-Shops zu stehlen. Dieser alarmierende Trend unterstreicht die anhaltende Bedrohung durch Cyberkriminelle und die Notwendigkeit robuster Sicherheitsmaßnahmen in der digitalen Landschaft.

Missbrauch des Dessky Snippets Plugins für bösartige PHP-Injektionen

Der Angriff wurde erstmals identifiziert, als Berichte über gestohlene Kreditkarteninformationen auftauchten, was eine Untersuchung durch den Cybersicherheitsanalysten Conrado Torquato nach sich zog. Laut Berichten von Sucuri nutzten die Angreifer das Dessky Snippets Plugin, ein relativ unbekanntes WordPress-Plugin mit nur wenigen hundert aktiven Installationen.

Dieses Plugin ermöglichte es den Angreifern, schädlichen PHP-Code auf den Opfer-Websites hinzuzufügen, was den Checkout-Prozess in WooCommerce-Shops effektiv kompromittierte. Der schädliche Code war geschickt unter mehreren leeren Zeilen im Code des Plugins versteckt, was es Website-Betreibern erschwerte, ihn zu entdecken.

Malware-Analyse enthüllt ausgeklügelte Umgehungstechniken

Die in das Dessky Snippets Plugin eingebettete Malware war stark verschleiert und verwendete zwei Hauptblöcke von Code. Der erste Block verwendete eine gefälschte Funktion namens twentytwenty_get_post_logos, die als Hook an den WooCommerce-Hook woocommerce_after_checkout_billing_form anknüpfte. Diese Funktion fügte dem Abrechnungsformular neue Felder hinzu, die Nutzer dazu verleiteten, ihre Kreditkartendetails einzugeben.

Der zweite Codeblock überwachte die POST-Daten nach spezifischen Parametern, die mit den injizierten Formularfeldern zusammenhängen. Einmal erkannt, sendete die Malware die erfassten Kreditkarteninformationen an eine URL eines Drittanbieters.

Um einer Entdeckung zu entgehen, wurden die gefälschten Checkout-Overlay-Felder mit autocomplete="off" versehen. Dies verhinderte, dass Browser Benutzer vor der Eingabe sensibler Informationen warnten und ließ die Felder als legitime Eingaben erscheinen.

Schutzmaßnahmen für E-Commerce-Websites

• Software regelmäßig aktualisieren: CMS, Plugins, Themes und Drittanbieterkomponenten stets auf dem neuesten Stand halten.
• Starke Passwörter verwenden: Sicherstellen, dass alle Konten, einschließlich Admin-, sFTP- und Datenbankzugängen, starke und einzigartige Passwörter haben.
• Vertrauenswürdige Skripte wählen: Nur JavaScript von renommierten Quellen integrieren und unnötige Drittanbieterskripte vermeiden.
• Bedrohungen überwachen: Die Website regelmäßig auf Anzeichen von Malware, unbefugte Änderungen oder andere Kompromittierungsindikatoren prüfen.
• Firewall implementieren: Eine Webanwendungsfirewall nutzen, um bösartige Bots zu blockieren, bekannte Schwachstellen virtuell zu patchen und schädlichen Verkehr zu filtern.
• CSP einrichten: Eine Content Security Policy (CSP) einrichten, um gegen Clickjacking, Cross-Site Scripting (XSS) und andere Bedrohungen zu schützen.

Für Website-Besucher kann die Verwendung von Skript-Blockier-Erweiterungen wie NoScript und die Aufrechterhaltung robuster Antivirus-Software dabei helfen, laufende Skimming-Angriffe zu erkennen und zu verhindern.