WordPressプラグイン

セキュリティ研究者は、偽の管理者アカウントを作成し、クレジットカード情報を盗むために悪意のあるJavaScriptコードを注入する悪意のあるWordPressプラグインを発見した。によるとサイバーセキュリティSucuri社によると、この盗難は電子商取引サイトを狙ったMagecart攻撃の一環だという。

"他の多くの悪意のある、または偽のWordPressプラグインと同様に、それは合法的に見えるように、ファイルの先頭にいくつかの欺瞞的な情報が含まれています "とセキュリティ研究者ベン・マーティンは述べています。"この場合、注釈はコードが'WordPress Cache Addons'であると主張している。"

悪意のあるプラグインは通常、2つの方法のいずれかでWordPressサイトに侵入する：

侵害された管理者アカウントの悪用
サイトにすでにインストールされている他のプラグインのセキュリティホールを悪用する。
インストール後、プラグインは自動的に有効化し、管理パネルでその存在を隠すために、mu-plugins（必ず使用するプラグイン）ディレクトリに自分自身をコピーします。

"mu-pluginsを削除する唯一の方法はファイルを手動で削除することなので、マルウェアはこの操作を防ぐ方法を見つけるだろう "とマーティンは説明する。"マルウェアは、このようなプラグインが通常使用するフック（hooks）のコールバック関数をコメントアウトすることでこれを行う。"

不正プラグインはまた、サイト管理者の注意を引くのを避けるために管理者ユーザーアカウントを作成して隠し、対象サイトに長時間アクセスし続ける。

攻撃者の最終目標は、クレジットカード情報を盗むマルウェアをチェックアウトページに注入し、攻撃者のコントロール下にあるドメインに情報を盗むことだ。

イベントの開示

この情報公開は、WordPressのセキュリティ・コミュニティがフィッシング・キャンペーンについてユーザーに警告した数週間後に行われた。このフィッシング・キャンペーンは、WordPressのコンテンツ管理システムにおける無関係なセキュリティ脆弱性についてユーザーに警告し、管理者ユーザーを作成し、永続的なリモート・アクセスのためのウェブ・シェルを展開するプラグインをインストールするようだますものである。

Sucuriによると、キャンペーンの背後にいる攻撃者は、CVE識別子の「RESERVED」ステータスを悪用しているという。このステータスは、CVE番号付与機関（CNA）またはセキュリティ研究者によって識別子が使用されている場合に表示されるが、詳細はまだ記入されていない。

その他のMagecart攻撃

この事件は、ウェブサイト・セキュリティ会社が別のMagecart攻撃キャンペーンを発見した際にも発生した。このキャンペーンでは、WebSocket通信プロトコルを使用して、オンラインショップにスキマーコードを挿入していた。このマルウェアは、正規のチェックアウトボタンの上にある偽の「注文完了」ボタンがクリックされると作動した。

欧州刑事警察機構（Europol）が今週発表したサイバー詐欺に関するテーマ別報告書では、デジタルスキミングについて、クレジットカード情報の盗難、転売、悪用につながる根強い脅威であると説明している。同報告書によると、「デジタル・スキミングにおける大きな進化は、フロントエンドのマルウェアの使用からバックエンドのマルウェアの使用へとシフトしたことであり、検知をより困難にしている」という。

EUの法執行機関はまた、443のオンライン加盟店に対し、顧客のクレジットカードまたはペイメントカードのデータがスキミング攻撃によって漏洩したことを通知した。

Group-IBはまた、「Operation Digital Skimmer（デジタル・スキマー作戦）」と呼ばれる国境を越えたサイバー犯罪対策で欧州警察と提携している。同社によると、ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter、R3ninを含む23のJSスニファー・ファミリーを検出・特定し、これらはヨーロッパとアメリカ大陸の17カ国の企業を標的に使用された。

同社はさらに、「2023年末までに、132のJSスニファー・ファミリーがウェブサイトを攻撃するために世界的に使用されていることが知られている。

その他のセキュリティ・リスク

さらに、Google検索やTwitterで発見された暗号通貨プラットフォームをターゲットにした偽広告は、MS Drainerと呼ばれる暗号通貨窃盗犯を宣伝していることが判明した。この窃盗犯は2023年3月以降、10,072のフィッシング・ウェブサイトを通じて63,210人の被害者から5,898万ドルを盗んだと推定されている。

「ScamSnifferは、「Googleの検索キーワードと次のXの検索ベースを使用することにより、彼らは特定のターゲットを選択し、非常に低コストで継続的なフィッシングキャンペーンを開始することができます。

いくつかの提案

悪意のあるプラグインからWordPressウェブサイトを保護するには、以下の手順を踏むことができます：

信頼できるソースからのみプラグインをダウンロードする。
WordPressとすべてのプラグインを定期的に更新する。
セキュリティプラグインを使用してマルウェアを検出し、ブロックする。
攻撃された場合の復旧のために、サイトをバックアップしておきましょう。
WordPressサイトが悪意のあるプラグインに感染している疑いがある場合、以下のツールで確認することができます：

Sucuri SiteCheck
ワードフェンススキャナー
インヴィクティ・セキュリティ・スキャナ
これらのツールは、悪意のあるプラグインを検出し、削除するのに役立ちます。