אתר SUCURI מדווחים על תופעה בה דף תשלום מזויף מופיע באתר וורדפרס כאשר מנסים לגשת לדף "החשבון שלי" מוצגת בדפדפן הנחיה לא מוכרת המבקשת פרטי חיוב בכרטיס אשראי.

הטופס המבקש מהמשתמש להזין פרטי כרטיס אשראי הוצב בבירור במהלך פריצה לאתר. חשוב לציין כי מדובר באתר וורדפרס שבכלל אינו מקבל תשלומים מקוונים! מקור הנוזקה התגלה באמצעות תוסף דפדפן FireFox בשם NoScript אשר הציג את הדומיין החשוד כשהוא מנסה לטעון JavaScript. קבצי JQuery מזויפים וטעינת ספריית JavaScript נפוצה מאוד בקוד פתוח המשמש באינספור אתרים. במקרה זה, השתמשו ההאקרים ככל הנראה בטכניקת ערפול שנצפתה לעתים קרובות בהונאות כרטיסי אשראי.

SUCURI מציינים כי בניגוד לדומיינים זדוניים רבים, ההאקרים במקרה זה לא טרחו להסתיר את ה- DNS שלהם מאחורי CDN או פרוקסי וניתן היה לגלות כי הדומיין מאוחסן בשרת פרטי וירטואלי של OVH בצרפת. היכן אם כן הוסתרה הנוזקה באתר הוורדפרס? לרוב, הזרקות JavaScript כמו במקרה הנחקר ממוקמות במסד הנתונים. בסביבות וורדפרס הן מוזרקות בדרך כלל לטבלת wp_options על ידי שימוש בווידג'טים מתוך לוח המחוונים של wp-admin. כאן לא הייתה הזרקה כזו. בחיפוש במערכת הקבצים הצליחו SUCURI לאתר את הנוזקה שהוזרקה לקובץ header.php של ערכת העיצוב.

נשאלת אם כן השאלה: מה נמצא בקובץ JQuery המזויף הזה? בדרך כלל ניתנים קבצי JavaScript לצפייה בטקסט רגיל בדפדפן האינטרנט (מה שגם מקל על העבודה עם JavaScript עבור רוב חוקרי האבטחה שלעתים קרובות אין להם גישה לחלק האחורי של האתרים/שרתים. PHP לעומת זאת – סיפור שונה לחלוטין). במקרה הנחקר נראה שההאקרים רצו להימנע מגילוי הקובץ וחסמו את אפשרות הצפיה בקוד שלו על ידי הכנסת הנתיב שלו לשורת הכתובת של הדפדפן. נמצא כי חלק הארי של קובץ ה-Javascript הזדוני הוא רק עיצוב וסגנון. בתחתית הקובץ נראה התוכן העיקרי של הנוזקה: שדות הקלט המפורטים בטקסט רגיל (פרטי כרטיס אשראי, כתובת וכו') ובנוסף, הפונקציה atob נמצאת בשימוש נרחב כאן כדי להגדיר טריגרים לגבי מועד ביצוע ה- javascript: אם נעשה שימוש באחת מהמילים order, checkout, commande, cart, direccion, minha-conta, account, checkout, compra, registreren, orderby, critcart, descartables בכתובת אתר הוורדפרס, הנוזקה נכנסת לפעולה. זה מסביר מדוע הנוזקה הופעלה על ידי כתובת "החשבון שלי" באתר למרות שהאתר לא טיפל בפרטי כרטיס אשראי או קיבל תשלומים. בנוסף לאנגלית, ניתן לראות גם שימוש במונחים בצרפתית, פורטוגזית, ספרדית והולנדית – מה שמצביע על כך שכנראה נוזקה זו מכוונת לאתרי וורדפרס אירופאים.

בבדיקת הקבצים ששונו סביב התאריך המשוער של הזרקת הנוזקה, לא נמצאו דלתות אחוריות או נוזקות נוספות. עם זאת, לאתר הוורדפרס הנחקר היו יותר מתריסר מנהלי מערכת, כך שסביר להניח שמקור הפריצה היה חשבון אדמין שעבר Brute Force Attack. לאחר שההאקרים חדרו לפאנל ניהול האתר, הם יכלו לערוך קבצים באמצעות עורך הקבצים המובנה המופעל כברירת מחדל. בעלי אתרי וורדפרס יכולים להגן על עצמם מפני תקיפות מסוג זה על ידי הקשחת פאנל ה- wp-admin שלהם והימנעות משימוש בתצורות ברירת מחדל.