I cacciatori di minacce hanno scoperto un plugin WordPress non autorizzato in grado di creare utenti amministratori fasulli e di iniettare codice JavaScript dannoso per rubare i dati delle carte di credito.
L’attività di scrematura fa parte di a Campagna Magecart prendendo di mira i siti di e-commerce, secondo Sucuri.
“Come molti altri plugin WordPress dannosi o falsi, contiene alcune informazioni ingannevoli nella parte superiore del file per dargli una patina di legittimità,” il ricercatore di sicurezza Ben Martin disse. “In questo caso, i commenti affermano che il codice è ‘Componenti aggiuntivi WordPress Cache.'”
I plugin dannosi in genere raggiungono i siti WordPress tramite a utente amministratore compromesso o il sfruttamento delle falle di sicurezza in un altro plugin già installato sul sito.
Dopo l’installazione, il plugin si replica nel file mu-plugin (o plugin indispensabili) in modo che venga automaticamente abilitato e nasconda la sua presenza dal pannello di amministrazione.
Sconfiggi le minacce basate sull’intelligenza artificiale con Zero Trust: webinar per professionisti della sicurezza
Le misure di sicurezza tradizionali non bastano nel mondo di oggi. È il momento della sicurezza Zero Trust. Proteggi i tuoi dati come mai prima d’ora.
“Poiché l’unico modo per rimuovere uno qualsiasi dei mu-plugin è rimuovere manualmente il file, il malware fa di tutto per impedirlo,” ha spiegato Martin. “Il malware ottiene questo risultato annullando la registrazione delle funzioni di callback per gli hook utilizzati normalmente da plugin come questo.”
Il plug-in fraudolento include anche un’opzione F per creare e nascondere un account utente amministratore all’amministratore legittimo del sito Web per evitare di sollevare segnali d’allarme e avere un accesso prolungato all’obiettivo per periodi di tempo prolungati.
L’obiettivo finale della campagna è iniettare malware per il furto di carte di credito nelle pagine di pagamento ed esfiltrare le informazioni in un dominio controllato da attori.
“Poiché molte infezioni di WordPress si verificano da parte di utenti amministratori wp-admin compromessi, è ovvio che abbiano dovuto lavorare entro i limiti dei livelli di accesso di cui dispongono, e l’installazione di plugin è sicuramente una delle abilità chiave che gli amministratori di WordPress possiedono “, ha detto Martino.
La divulgazione arriva settimane dopo la comunità di sicurezza di WordPress avvertito di una campagna di phishing che avvisa gli utenti di una falla di sicurezza non correlata nel sistema di gestione dei contenuti web e li induce con l’inganno a installare un plugin sotto le mentite spoglie di una patch. Il plugin, da parte sua, crea un utente amministratore e distribuisce una shell web per l’accesso remoto persistente.
Sucuri ha affermato che gli autori delle minacce dietro la campagna stanno sfruttando il “RISERVATO” stato associato a un identificatore CVE, che si verifica quando è stato riservato per l’uso da parte di un’autorità di numerazione CVE (CNA) o di un ricercatore di sicurezza, ma i dettagli devono ancora essere riempiti.
Viene anche come società di sicurezza del sito web scoperto un’altra campagna Magecart che utilizza il protocollo di comunicazione WebSocket per inserire il file codice dello schiumatoio sulle vetrine online. Il malware viene quindi attivato facendo clic su un falso pulsante “Completa ordine” sovrapposto al pulsante di pagamento legittimo.
Il rapporto di Europol sulle frodi online pubblicato questa settimana descrive lo skimming digitale come una minaccia persistente che provoca il furto, la rivendita e l’uso improprio dei dati delle carte di credito. “Un’importante evoluzione nello skimming digitale è il passaggio dall’uso di malware front-end a malware back-end, rendendolo più difficile da rilevare”, si legge disse.
L’agenzia di contrasto dell’UE disse ha inoltre informato 443 commercianti online che i dati delle carte di credito o di pagamento dei loro clienti erano stati compromessi tramite attacchi di skimming.
Group-IB, che ha anche collaborato con Europol nell’operazione di lotta alla criminalità informatica transfrontaliera nome in codice Digital Skimming Action, ha affermato di aver rilevato e identificato 23 famiglie di JS-sniffer, tra cui ATMZOW, Health_check, FirstKiss, FakeGA, AngryBeaver, Inter e R3nin, che sono stati utilizzati contro aziende in 17 paesi diversi in Europa e nelle Americhe.
“In totale, alla fine del 2023, sono note 132 famiglie di JS-sniffer che hanno compromesso siti web in tutto il mondo,” ha affermato l’azienda con sede a Singapore. aggiunto.
Non è tutto. È stato scoperto che annunci fasulli su Ricerca Google e Twitter per piattaforme di criptovaluta promuovono un drenatore di criptovaluta denominato MS Drainer che si stima abbia già saccheggiato 58,98 milioni di dollari da 63.210 vittime da marzo 2023 attraverso una rete di 10.072 siti Web di phishing.
“Prendendo di mira un pubblico specifico attraverso i termini di ricerca di Google e la seguente base di X, è possibile selezionare obiettivi specifici e lanciare continue campagne di phishing a un costo molto basso,” ScamSniffer disse.