
Peneliti keamanan siber memperingatkan adanya kampanye skimmer kartu kredit tersembunyi yang menargetkan halaman checkout e-commerce WordPress dengan memasukkan kode JavaScript berbahaya ke dalam tabel database yang terkait dengan sistem manajemen konten (CMS).
“Malware skimmer kartu kredit yang menargetkan situs WordPress secara diam-diam menyuntikkan JavaScript berbahaya ke dalam entri database untuk mencuri detail pembayaran sensitif,” kata peneliti Sucuri Puja Srivastava dalam analisis barunya.
“Malware ini aktif secara spesifik di halaman checkout, baik dengan membajak kolom pembayaran yang ada atau memasukkan formulir kartu kredit palsu.”
Perusahaan keamanan situs web milik GoDaddy mengatakan mereka menemukan malware yang tertanam di tabel wp_options WordPress dengan opsi “widget_block”, sehingga memungkinkannya menghindari deteksi oleh alat pemindaian dan bertahan di situs yang disusupi tanpa menarik perhatian.

Idenya adalah memasukkan JavaScript berbahaya ke dalam widget blok HTML melalui panel admin WordPress (wp-admin > widgets).
Kode JavaScript bekerja dengan memeriksa apakah halaman saat ini adalah halaman checkout dan memastikan bahwa halaman tersebut akan aktif hanya setelah pengunjung situs akan memasukkan detail pembayarannya, yang kemudian secara dinamis membuat layar pembayaran palsu yang meniru pemroses pembayaran yang sah. seperti Stripe.
Formulir ini dirancang untuk mencatat nomor kartu kredit pengguna, tanggal kedaluwarsa, nomor CVV, dan informasi penagihan. Sebagai alternatif, skrip nakal juga mampu menangkap data yang dimasukkan pada layar pembayaran sah secara real-time untuk memaksimalkan kompatibilitas.
Data yang dicuri kemudian dikodekan Base64 dan dikombinasikan dengan enkripsi AES-CBC untuk membuatnya tampak tidak berbahaya dan menolak upaya analisis. Pada tahap akhir, itu dikirimkan ke server yang dikendalikan penyerang (“valhafather[.]xyz” atau “fqbe23[.]xyz”).
Perkembangan ini terjadi lebih dari sebulan setelah Sucuri menyoroti kampanye serupa yang memanfaatkan malware JavaScript untuk secara dinamis membuat formulir kartu kredit palsu atau mengekstrak data yang dimasukkan dalam bidang pembayaran di halaman pembayaran.
Informasi yang dikumpulkan kemudian mengalami tiga lapisan kebingungan dengan mengkodekannya terlebih dahulu sebagai JSON, mengenkripsinya dengan XOR dengan “skrip” kunci, dan terakhir menggunakan pengkodean Base64, sebelum eksfiltrasi ke server jarak jauh (“staticfonts[.]com”).
“Skrip ini dirancang untuk mengekstrak informasi sensitif kartu kredit dari kolom tertentu di halaman checkout,” kata Srivastava. “Kemudian malware mengumpulkan data pengguna tambahan melalui API Magento, termasuk nama pengguna, alamat, email, nomor telepon, dan informasi penagihan lainnya. Data ini diambil melalui data pelanggan dan model penawaran Magento.”
Pengungkapan ini juga menyusul ditemukannya kampanye email phishing bermotif finansial yang mengelabui penerima agar mengklik halaman login PayPal dengan kedok permintaan pembayaran luar biasa senilai hampir $2.200.
“Penipu tampaknya baru saja mendaftarkan domain uji Microsoft 365, yang gratis selama tiga bulan, lalu membuat daftar distribusi (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) yang berisi email korban,” kata Carl Windsor dari Fortinet FortiGuard Labs. “Di portal web PayPal, mereka cukup meminta uang dan menambahkan daftar distribusi sebagai alamatnya.”
Apa yang membuat kampanye ini licik adalah kenyataan bahwa pesan-pesan tersebut berasal dari alamat PayPal yang sah ([email protected]) dan berisi URL masuk asli, yang memungkinkan email lolos dari alat keamanan.
Lebih buruk lagi, segera setelah korban mencoba masuk ke akun PayPal mereka tentang permintaan pembayaran, akun mereka secara otomatis ditautkan ke alamat email daftar distribusi, sehingga memungkinkan pelaku ancaman untuk membajak kendali atas akun tersebut.
Dalam beberapa minggu terakhir, pelaku kejahatan juga terlihat memanfaatkan teknik baru yang disebut spoofing simulasi transaksi untuk mencuri mata uang kripto dari dompet korban.

“Dompet Web3 modern menggabungkan simulasi transaksi sebagai fitur yang mudah digunakan,” kata Scam Sniffer. “Kemampuan ini memungkinkan pengguna untuk melihat hasil yang diharapkan dari transaksi mereka sebelum menandatanganinya. Meskipun dirancang untuk meningkatkan transparansi dan pengalaman pengguna, penyerang telah menemukan cara untuk mengeksploitasi mekanisme ini.”

Rantai infeksi melibatkan pemanfaatan kesenjangan waktu antara simulasi dan eksekusi transaksi, yang memungkinkan penyerang membuat situs palsu yang meniru aplikasi terdesentralisasi (DApps) untuk melakukan serangan penipuan yang menguras dompet.
“Vektor serangan baru ini mewakili evolusi signifikan dalam teknik phishing,” kata penyedia solusi anti-penipuan Web3. “Daripada mengandalkan penipuan sederhana, penyerang kini mengeksploitasi fitur dompet tepercaya yang diandalkan pengguna untuk keamanan. Pendekatan canggih ini membuat pendeteksian menjadi sangat menantang.”