Les chercheurs ont repéré un logiciel malveillant WordPress qui permet aux cybercriminels de collecter des informations dans les magasins WooCommerce et les aide à configurer des sites Web compromis pour de futures attaques d’écrémage.

WooCommerce est un plugin de commerce électronique open source très populaire pour WordPress qui permet aux propriétaires de sites de créer facilement leur propre boutique en ligne. Avec plus de 5 millions d’installations, c’est l’une des plus grandes plateformes de commerce électronique et est souvent ciblée par les cybercriminels pour un gain financier.

Les attaques faisant partie d’une campagne en cours ciblant des plugins WordPress vulnérables utilisent un code malveillant conçu pour identifier si les sites utilisent WooCommerce, puis interroger les données qui s’y rapportent, a révélé la société de sécurité Web Sucuri.

Après l’exploitation initiale, un fichier malveillant est injecté dans l’environnement d’hébergement du site Web, ce qui permet aux attaquants de cartographier ce à quoi l’utilisateur / le propriétaire du fichier a accès.

Écrit en PHP, le malware crée une série de fonctions utilisées pour rechercher d’autres sites Web WordPress et se connecter à leur base de données pour collecter des données WooCommerce.

L’une des fonctions définies dans le fichier malveillant recherche récursivement dans les répertoires environnants, à la recherche de wp-config.php dans n’importe quel répertoire, puis pour la valeur par défaut / wp-content / plugins / woocommerce / annuaire.

Si le deuxième répertoire est trouvé, les données liées à WooCommerce devraient être stockées dans le $ woo[] tableau variable. Le malware implémente également une fonction pour extraire les données de connexion MySQL des informations disponibles. wp-config.php fichiers et une autre fonction pour utiliser les informations d’identification extraites pour accéder à la base de données WordPress.

Le logiciel malveillant soumet un total de trois requêtes SQL à la base de données WordPress, pour obtenir le nombre de commandes, interroger les données de ligne pour les commandes dans le des postes table placée après le 1er mars 2020 et pour rechercher postmeta tableau des données relatives aux commandes passées le 1er mars ou après. Cela permet aux attaquants de …

Voir la source de cette publication