Плагин для WordPress

Исследователи безопасности обнаружили вредоносный плагин WordPress, который создает поддельные учетные записи администраторов и внедряет вредоносный JavaScript-код для кражи информации о кредитных картах. Согласноинформационная безопасностьКомпания Sucuri заявила, что кража была частью атаки Magecart, направленной на сайты электронной коммерции.

"Как и многие другие вредоносные или поддельные плагины WordPress, он содержит обманчивую информацию в верхней части файла, чтобы придать ему легитимный вид", - говорит исследователь безопасности Бен Мартин. "В данном случае аннотация утверждает, что код является 'WordPress Cache Addons'".

Вредоносные плагины обычно попадают на сайты WordPress одним из двух способов:

Использование взломанных учетных записей администраторов
Использовать дыры в безопасности других плагинов, уже установленных на сайте.
После установки плагин копирует себя в директорию mu-plugins (обязательные плагины), чтобы автоматически включить и скрыть свое присутствие в админ-панели.

"Поскольку единственный способ удалить mu-плагины - это удалить файлы вручную, вредоносная программа находит способ предотвратить эту операцию", - объясняет Мартин. "Вредоносная программа делает это, комментируя функции обратного вызова крючков (hooks), обычно используемых такими плагинами".

Мошеннический плагин также создает и скрывает учетную запись администратора, чтобы не привлекать внимание администратора сайта, и продолжает получать доступ к целевому сайту в течение длительного времени.

Конечная цель злоумышленника - внедрить на страницу оформления заказа вредоносное ПО, похищающее информацию о кредитной карте, и переправить ее на домен, находящийся под контролем злоумышленника.

Раскрытие информации о событиях

Разоблачение произошло всего через несколько недель после того, как сообщество специалистов по безопасности WordPress предупредило пользователей о фишинговой кампании. Фишинговая кампания предупреждает пользователей об уязвимости в системе управления контентом WordPress, не имеющей отношения к безопасности, и обманом заставляет их установить плагин, который создает пользователя-администратора и развертывает веб-оболочку для постоянного удаленного доступа.

По словам Sucuri, злоумышленники, стоящие за этой кампанией, используют статус "RESERVED" идентификатора CVE, который появляется, когда идентификатор используется органом нумерации CVE (CNA) или исследователем безопасности, но детали еще не заполнены.

Другие атаки Magecart

Инцидент также произошел, когда компания, занимающаяся безопасностью веб-сайтов, обнаружила еще одну атакующую кампанию Magecart. Эта кампания использовала протокол связи WebSocket для вставки скиммерского кода в интернет-магазин. Вредоносное ПО запускалось, когда поддельная кнопка "Завершить заказ" нажималась над законной кнопкой оформления заказа.

В тематическом отчете о кибермошенничестве, опубликованном на этой неделе Европолом, цифровой скимминг описывается как постоянная угроза, которая приводит к краже, перепродаже и неправомерному использованию данных кредитных карт. Согласно отчету, "основной эволюцией в цифровом скимминге стал переход от использования вредоносных программ на переднем плане к использованию вредоносных программ на заднем плане, что усложняет их обнаружение".

Правоохранительные органы ЕС также уведомили 443 онлайн-торговца о том, что данные кредитных или платежных карт их клиентов были скомпрометированы в результате скимминговой атаки.

Group-IB также сотрудничает с Европолом в рамках инициативы по борьбе с трансграничной киберпреступностью под названием Operation Digital Thief. Компания заявила, что обнаружила и идентифицировала 23 семейства JS-шифровальщиков, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin, которые использовались для атак на компании в 17 различных странах Европы и Америки.

Компания добавила: "По состоянию на конец 2023 года известно 132 семейства JS-снифферов, которые используются во всем мире для атак на веб-сайты".

Другие риски безопасности

Кроме того, в поисковых запросах Google и в Twitter были обнаружены поддельные рекламные объявления, направленные на криптовалютные платформы, которые продвигали криптовалютный похититель под названием MS Drainer. По оценкам, с марта 2023 года этот похититель украл 58,98 миллиона долларов у 63 210 жертв с помощью 10 072 фишинговых сайтов.

"Используя поисковые запросы Google и поисковую базу следующего X, они могут выбирать конкретные цели и запускать постоянные фишинговые кампании с очень низкими затратами", - говорится в сообщении ScamSniffer.

Некоторые предложения

Чтобы защитить свой сайт WordPress от вредоносных плагинов, вы можете предпринять следующие шаги:

Загружайте плагины только из проверенных источников.
Регулярно обновляйте WordPress и все плагины.
Используйте плагины безопасности для обнаружения и блокировки вредоносных программ.
Создайте резервную копию сайта для восстановления в случае атаки.
Если вы подозреваете, что ваш сайт WordPress заражен вредоносным плагином, вы можете проверить его с помощью следующих инструментов:

Sucuri SiteCheck
Сканер Wordfence
Сканер безопасности Invicti
Эти инструменты помогут вам обнаружить и удалить вредоносные плагины.