WordPress 插件

安全研究人员发现了一个恶意 WordPress 插件，它能够创建虚假管理员账户并注入恶意 JavaScript 代码，用于窃取信用卡信息。据网络安全公司 Sucuri 称，该盗刷活动属于针对电商网站的 Magecart 攻击活动。

“与许多其他恶意或虚假的 WordPress 插件一样，它在文件顶部包含一些欺骗性的信息，以使其看起来合法，”安全研究员 Ben Martin 说。“在这种情况下，注释声称代码是‘WordPress Cache Addons’。”

恶意插件通常会通过以下两种方式进入 WordPress 网站：

利用被攻击的管理员账户
利用网站上已安装的其他插件的安全漏洞
安装后，该插件会将自身复制到 mu-plugins（必须使用的插件）目录中，以便自动启用并隐藏其在管理面板中的存在。

“由于唯一删除 mu-plugins 的方法是手动删除文件，因此恶意软件会想方设法阻止这种操作，”Martin 解释说。“恶意软件通过注销此类插件通常使用的钩子（hooks）的回调函数来实现这一点。”

该欺诈性插件还可以创建并隐藏一个管理员用户账户，以避免引起网站管理员的注意，并在较长时间内持续访问目标网站。

攻击者的最终目的是在结账页面中注入窃取信用卡信息的恶意软件，并将信息窃取到攻击者控制的域名。

披露事件

该披露事件发生在 WordPress 安全社区警告用户有关一场网络钓鱼活动后几周。该网络钓鱼活动会提醒用户有关 WordPress 内容管理系统中的一个不相关的安全漏洞，并诱骗他们安装一个插件，该插件会创建一个管理员用户并部署一个用于持久远程访问的 Web 外壳。

Sucuri 表示，该活动背后的攻击者正在利用 CVE 标识符的“RESERVED”状态，该状态在 CVE 编号机构 (CNA) 或安全研究人员使用该标识符时会出现，但细节尚未填写。

其他 Magecart 攻击

该事件还发生在网站安全公司发现另一个 Magecart 攻击活动之际。该攻击活动使用 WebSocket 通信协议将 skimmer 代码插入到在线商店中。恶意软件在单击位于合法结账按钮上方的虚假“完成订单”按钮时触发。

欧盟刑警组织本周发布的关于网络欺诈的专题报告描述了数字盗刷作为一种持续存在的威胁，导致信用卡数据被盗、转售和滥用。报告称，“数字盗刷的一个重大演变是从使用前端恶意软件转向使用后端恶意软件，使其更难检测。”

欧盟执法机构还通知了 443 家在线商家，他们的客户的信用卡或支付卡数据已被盗刷攻击所泄露。

Group-IB 也与欧盟刑警组织合作开展了名为“数字盗刷行动”的跨境打击网络犯罪行动。该公司表示，它检测并识别了 23 个 JS-sniffer 家族，包括 ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter 和 R3nin，这些家族被用于针对欧洲和美洲 17 个不同国家的公司。

该公司补充说：“截至 2023 年底，全球已知有 132 个 JS-sniffer 家族被用于攻击网站。”

其他安全风险

此外，在 Google 搜索和 Twitter 上发现的针对加密货币平台的虚假广告被发现在宣传一个名为 MS Drainer 的加密货币窃取器。据估计，该窃取器自 2023 年 3 月以来已通过 10,072 个网络钓鱼网站从 63,210 名受害者那里窃取了 5898 万美元。

“通过使用 Google 搜索词和以下 X 的搜索基础，他们可以选择特定目标并以非常低的成本发起持续的网络钓鱼活动，”ScamSniffer 说。

一些建议

为了保护您的 WordPress 网站免受恶意插件攻击，您可以采取以下措施：

仅从受信任的来源下载插件。
定期更新 WordPress 和所有插件。
使用安全插件来检测和阻止恶意软件。
备份您的网站，以便在发生攻击时进行恢复。
如果您怀疑您的 WordPress 网站已被恶意插件感染，您可以使用以下工具进行检查：

Sucuri SiteCheck
Wordfence Scanner
Invicti Security Scanner
这些工具可以帮助您检测和删除恶意插件。