אתר SUCURI מדווח על חקירת פרצת אבטחה ברכיב החנות המקוונת WooCommerce לאתרי וורדפרס, אשר החלה בדיווח על אזהרת אנטי-וירוס המופיעה רק בדף התשלום, כמובן בזמן הגרוע ביותר האפשרי – חגי דצמבר. מה שנראה תחילה כמקרה שגרתי של גניבת פרטי כרטיסי אשראי, התברר כנוזקה הרבה יותר מתוחכמת אשר מינפה גופנים, את ה-favicon וקבצים נוספים בשימוש פחות נפוץ, כדי לגנוב פרטי כרטיסי אשראי.
מכיוון שכל מה שנטען באתר הוורדפרס הנגוע הפעיל את אזעקות האנטי וירוס, הוא היה צריך להיטען דרך הדפדפן. סביר להניח שזה היה JavaScript ולא נוזקת PHP, מכיוון שלא ניתן לזהות אותם על ידי תוכניות אבטחה בצד הגולש. בדיקה ידנית של כל קבצי ה-JavaScript הנטענים בעמוד התשלום לא הניבה תוצאות אולם אחד האנליסטים של SUCURI הצליח לזהות תוכן מפוקפק על ידי צפייה במקור של דף התשלום. בדף התשלום נמצא קוד מוזר ונראה שהוא JavaScript למרות שלא היו תגי סקריפט. בוצעה שאילתה במסד הנתונים עבור המחרוזת הפשוטה "cs1" וזו נמצאה בדף "checkout" של טבלת wp_posts. אם מפרידים את ה- JavaScript, אז ברגע שרושמים את הפונקציות בקונסולת טסטים, אפשר להבין שהמחרוזות רק מסודרות מחדש. ברגע שהן מורכבות בסדר הנכון והקוד נקי, ניתן לראות שימוש מוזר ב- woff file כאשר אין סיבה ש- JavaScript ישחק עם קובץ גופנים. כאשר מתמודדים עם נוזקות מבוססות אינטרנט, ברוב המכריע של הזמן מוצאים קבצי PHP, JavaScript ו-HTML. עם זאת, מדי פעם אפשר להיתקל במיטענים זדוניים הממנפים סוגי קבצים שונים ולפעמים לא שגרתיים כמו קובץ גופן.
קוד JavaScript שהוזרק דרך קובץ הגופן נועד לגנוב את פרטי כרטיסי האשראי: מספר הכרטיס, קוד CVV, שם פרטי ושם משפחה של בעלי הכרטיס, תוקף הכרטיס. הקוד גם אסף מספר פרטים שלא תמיד רואים בנוזקות מעין אלו, כמו השפה של בעלי כרטיס האשראי. פרטי כרטיס אשראי בלבד אינם מספיקים כדי להשתמש במספר כרטיס אשראי גנוב, כך שבהמשך הקובץ ניתן לראות גם את המידע הנוסף שנגנב: כתובת, מיקוד, עיר, חברה, אזור. מעניין לציין שהיה קובץ .woff נוסף וכן קובץ favicon.ico גם בתוך מבנה הקובץ, שהוזרקו עם JavaScript זדוני. שני הקבצים כללו נתוני גופנים ואייקונים ובמבט ראשון נראו לגיטימיים לחלוטין. קובץ ה- favicon התאים לתמונת ה- favicon הלגיטימית של אתר הוורדפרס של קורבן, כמו גם לשם הדומיין, מה שמרמז שזו הייתה מתקפה ממוקדת. קובץ ה-woff השני היה גם גופן פונקציונלי לחלוטין, למרות שהכיל מטען זדוני של JavaScript.
זו לא הפעם הראשונה שבה נעשה שימוש ב- favicon מזויף לצורך פריצה לאתר וגניבת פרטי כרטיסי אשראי ובוודאי לא הפעם הראשונה שבה נעשה שימוש בקובץ תמונה לאותה מטרה. קובצי גופן נמצאו בשימוש גם בהתקפות MageCart, אבל זה בהחלט לא משהו שרואים כל יום. האקרים ינסו כמעט תמיד להדביק מחדש סביבות ברגע שיצליחו להשיג דריסת רגל. בבדיקת יומני הניקוי של SUCURI עבור אתר הוורדפרס של הקורבן, נראה שהתוקפים חזרו שוב ושוב, תוך מינוף סוגי קבצים שונים בכל הדבקה חוזרת שלאחר מכן. האקרים תמיד מוצאים שיטות חדשות ויצירתיות להסתיר את הנוזקת שלהם. סריקות אבטחת אינטרנט נוטות להתמקד בקבצים המרכיבים את הליבה של מבנה אתר וורדפרס כמו .php או .js, כך שזה רק הגיוני שחלק מהתוקפים הערמומיים יותר ימצאו הרחבות קבצים חדשות לניצול וימצאו דרכים יצירתיות להחדיר את הנוזקות שלהם. בכל מקרה, מומלץ להוסיף רמה נוספת של אימות לפאנל ניהול אתר וורדפרס.