WordPress: WooCommerce Skimmer Spoofs Page de paiement

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Récemment, un de nos clients a signalé une fausse page de paiement apparaissant sur son site Web. Lorsque vous essayez d’accéder à leur « Mon compte” une invite inconnue est apparue dans leur navigateur sollicitant des informations de facturation par carte de crédit :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Ce formulaire était étranger à notre client et a été clairement placé lors d’une compromission de site Web. Fait intéressant, le site Web lui-même n’accepte même pas du tout les paiements. S’il s’agissait d’une tentative d’infection ciblée par vol de carte de crédit (comme bon nombre d’entre elles), alors les attaquants feraient mieux de choisir plus soigneusement la prochaine fois !

Il était assez facile de localiser l’infection en naviguant vers la page où se trouvait la passerelle de paiement signalée. En utilisant l’exceptionnel plugin FireFox NoScript, nous pouvons voir le faux domaine essayant de charger JavaScript sur la page :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Il est très courant que les domaines de balayage de carte de crédit empruntent l’identité de JQuery, une bibliothèque JavaScript open source très courante utilisée sur d’innombrables sites Web.

Lors de l’affichage de la source de la page Web, aucune instance de « apiujquery” était visible partout. Effectivement, les attaquants utilisaient une technique d’obscurcissement souvent vue avec les écumeurs de cartes de crédit : a à B

WordPress: WooCommerce Skimmer Spoofs Page de paiement

La fonction JavaScript atob prend une chaîne encodée en base64 et la décode. Dans ce cas, c’était notre charge utile :

//apiujquery[.]com/ajax/libs/jquery/3.5.1/jquery-3.11.0.min.js?i=

Ce domaine a été enregistré le 8 août de cette année en utilisant le registraire Eranet :

$ whois apiujquery[.]com
  Domain Name: APIUJQUERY.COM
  Registry Domain ID: 2631247943_DOMAIN_COM-VRSN
  Registrar WHOIS Server: whois.eranet.com
  Registrar URL: http://www.eranet.com
  Updated Date: 2021-08-03T17:46:52Z
  Creation Date: 2021-08-03T17:46:52Z

Contrairement à de nombreux domaines malveillants, les attaquants n’ont pas pris la peine de cacher leur DNS derrière un CDN ou un proxy inverse. On peut voir qu’il est hébergé sur un Serveur Privé Virtuel OVH situé en France :

$ host apiujquery.com
apiujquery.com has address 51.178.8.230

En utilisant Maltego avec l’extension VirusTotal, nous pouvons également voir que ce domaine est impliqué dans la distribution d’un cheval de Troie Android :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Quatre fournisseurs signalent actuellement ceci comme malveillant :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Trouver la source

Retour au sujet en question! La question restait : où se cachait l’infection dans le site Web ?

Le plus souvent, les injections JavaScript comme celle-ci sont situées dans la base de données. Dans les environnements comme celui-ci, ceux-ci sont généralement injectés dans la table wp_options à l’aide de widgets du tableau de bord wp-admin. Dans ce cas, aucune injection de ce type n’était présente.

En interrogeant le système de fichiers à la place, nous avons pu localiser le malware injecté dans le thème en-tête.php déposer:

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Skimmer de carte bancaire injecté dans le fichier header.php du thème du site

C’était suffisant pour éliminer l’infection, mais il y avait plus à vérifier avant de considérer l’affaire close. Plus particulièrement, cette infection était couplée à un utilisateur malveillant logé dans la base de données :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Avec le nom d’utilisateur « Yoseftyrnauer » et une adresse e-mail avec un @gamil.com adresse. Qu’il s’agisse d’une faute de frappe ou d’une tentative de donner l’impression d’un compte GMail, nous ne le saurons jamais !

Analyser la source

Tout cela soulève la question : qu’est-ce qui se trouve exactement dans ce faux fichier JQuery ? Normalement, les fichiers JavaScript sont visibles en texte brut dans votre navigateur Web (ce qui rend également JavaScript plus facile à utiliser pour la plupart des chercheurs en sécurité qui n’ont souvent pas accès au back-end des sites Web/serveurs. PHP est une bête complètement différente !).

Dans ce cas, il semble que les attaquants aient voulu éviter les regards indiscrets et bloqué ce fichier au public :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

403 Interdit signifie que quelqu’un ne veut pas que nous voyions ça

Cependant, nous savons que ce fichier peut être lu à partir du site Web infecté, n’est-ce pas ? Avec quelques basiques wget tomfoolery, nous avons pu télécharger le fichier dans notre bac à sable local en usurpant le référent pour qu’il corresponde à la page du site infecté où le vol de carte de crédit se produisait :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Jetons un coup d’oeil, voulez-vous?

Javascript malveillant

La majeure partie de ce fichier javascript n’est qu’un formatage et un style. Une fois arrivé en bas, nous pouvons voir le contenu principal de la charge utile :

WordPress: WooCommerce Skimmer Spoofs Page de paiement

Le haut de la capture d’écran ci-dessus montre les champs de saisie répertoriés en texte brut (informations de carte de crédit, adresse, etc.).

De plus, on voit que le a à B La fonction est largement utilisée ici pour définir des déclencheurs quant au moment où le javascript est exécuté. Une fois décodé à partir de la base64, nous voyons ce qui suit :

order
checkout
commande
cart
direccion
minha-conta
account
checkout
compra
registreren
orderby
critcart
descartables

Si l’un de ces mots est utilisé dans une URL sur le site Web cible, le logiciel malveillant se chargera. Cela explique pourquoi le malware a été déclenché par le « Mon compte” URL sur le site Web de notre client même si le site Web ne gérait pas les détails de la carte de crédit ou n’acceptait pas les paiements.

En plus de l’anglais, nous voyons également l’utilisation de termes français, portugais, espagnols et néerlandais, ce qui suggère que ce malware cible probablement des sites Web européens.

Source de l’infection

En vérifiant les fichiers qui ont été modifiés autour de la date estimée de la compromission, aucune porte dérobée ni aucun logiciel malveillant supplémentaire n’a été trouvé. Cependant, le site Web comptait plus d’une douzaine d’utilisateurs administrateurs, il est donc probable que la source de l’infection était un compte administrateur forcé. Une fois que les attaquants ont pris pied dans la zone d’administration, ils peuvent modifier les fichiers à l’aide de l’éditeur de fichiers intégré, qui est activé par défaut.

Les propriétaires de sites Web peuvent se protéger contre ces types d’attaquants en renforçant leur panneau wp-admin et en évitant l’utilisation de configurations prêtes à l’emploi par défaut. Nous avons récemment publié un guide sur la façon de protéger votre site Web contre les attaques sans avoir besoin de fonctionnalités ou de services payants.

Vous pouvez également vous inscrire à nos services de pare-feu et de remédiation de site Web si vous souhaitez participer à la protection de votre site Web contre les attaquants !

All the CMS Templates You Could Ask For.

WordPress: WooCommerce Skimmer Spoofs Page de paiement

2M+ items from the worlds largest marketplace for CMS TemplatesEnvato Market.



WordPress: WooCommerce Skimmer Spoofs Page de paiement

#WooCommerce #Skimmer #Spoofs #Page #paiement