Эксперты по кибербезопасности выявили новую вредоносную программу, специально разработанную для атаки на сайты, работающие на основе WooCommerce. Особенность этого вредоносного ПО заключается в том, что оно внедряет обманчивую форму оплаты непосредственно в стандартный процесс оформления заказа, что позволяет перехватывать конфиденциальные данные клиентов и передавать их на удалённый сервер управления (C2).
Как работает новое вредоносное ПО
В отличие от традиционных скиммеров карт, которые просто накладываются на существующие формы, эта вредоносная программа интегрируется в дизайн сайта и процесс оформления заказа. Это значительно усложняет ее обнаружение как для владельцев сайтов, так и для обычных пользователей.
- Вредоносный скрипт написан на JavaScript и маскируется под стандартный код сайта.
- Отличается профессиональным форматированием и естественным синтаксисом, что делает его внешний вид легитимным.
- При запуске происходит проверка страницы оформления заказа и фиксация, что данные этого сеанса еще не были собраны — предотвращая повторные предупреждения.
Механизм утечки данных и особенности передачи
Одной из ключевых особенностей вредоносной программы является использование локального хранилища браузера для временного хранения украденных данных, в том числе информации о платежных картах. Такой подход повышает устойчивость к сбоям и позволяет сохранять доступ к информации даже после перезагрузки страницы.
Для передачи данных злоумышленники задействуют функцию navigator.sendBeacon(), что позволяет отправлять украденную информацию на C2-сервер без нарушения работы пользователя и минимизирует риск обнаружения в логах. Передача происходит исключительно через POST-запросы, что делает её практически незаметной для систем мониторинга.
Обнаружение и меры защиты
О вредоносном ПО впервые сообщил пользователь Wordfence 24 апреля 2025 года. Вскоре после этого была разработана сигнатура для его обнаружения и защиты, которая сразу же стала доступна пользователям Wordfence Premium. Для бесплатных пользователей защита появилась после 30-дневной задержки.
Вероятный вектор атаки
Исследователи предположили, что заражение произошло через взломанную учетную запись администратора WordPress. Для установки вредоносного кода злоумышленники использовали пользовательский JavaScript-плагин, а возможно, и простой плагин для CSS и JS. Важно отметить, что сам плагин не содержит известных уязвимостей, что указывает на использование уже имеющегося административного доступа для внедрения зловредного скрипта.
Выводы и рекомендации
- Владельцам сайтов на WooCommerce необходимо регулярно проверять безопасность админ-панелей и использовать многофакторную аутентификацию.
- Рекомендуется внимательно отслеживать работу всех пользовательских плагинов и проводить их аудит.
- Использование решений типа Wordfence для обнаружения и блокировки подобных угроз является критически важным уровнем защиты.
Данная атака демонстрирует растущую сложность вредоносных программ и необходимость постоянного совершенствования механизмов безопасности в eCommerce-сфере.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая вредоносная угроза WooCommerce: скрытый скиммер данных клиентов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.