Охотники за угрозами обнаружили мошеннический плагин WordPress, который способен создавать фиктивных пользователей-администраторов и внедрять вредоносный код JavaScript для кражи информации о кредитной карте.
По словам Сукури, скимминг является частью кампании Magecart, нацеленной на сайты электронной коммерции.
"Как и многие другие вредоносные или поддельные плагины WordPress, он содержит некоторую вводящую в заблуждение информацию в верхней части файла, чтобы придать ему видимость легитимности", - сказал исследователь безопасности Бен Мартин. "В этом случае в комментариях утверждается, что код является "Дополнением к кешу WordPress"."
Вредоносные плагины обычно попадают на сайты WordPress либо через скомпрометированного администратора, либо используя недостатки безопасности в другом плагине, уже установленном на сайте.
После установки плагин реплицируется в каталог mu-plugins (или обязательных плагинов), так что он автоматически включается и скрывает свое присутствие от панели администратора.
"Поскольку единственный способ удалить любой из mu-плагинов - это вручную удалить файл, вредоносная программа делает все возможное, чтобы предотвратить это", - объяснил Мартин. "Вредоносная программа выполняет это путем отмены регистрации функций обратного вызова для перехватов, которые обычно используют подобные плагины".
Мошенник также имеет возможность создавать и скрывать учетную запись администратора от законного администратора веб-сайта, чтобы избежать тревожных сигналов и иметь постоянный доступ к цели в течение длительных периодов времени.
Конечная цель кампании - внедрить вредоносное ПО для кражи кредитных карт на страницы оформления заказа и перенести информацию в домен, контролируемый участником.
"Поскольку многие заражения WordPress происходят от скомпрометированных пользователей-администраторов wp-admin, само собой разумеется, что им приходилось работать в рамках ограничений уровней доступа, которые у них есть, и установка плагинов, безусловно, является одной из ключевых способностей, которыми обладают администраторы WordPress", - сказал Мартин.
Раскрытие поступило через несколько недель после того, как сообщество безопасности WordPress <a>предупредило</a> о фишинговой кампании, которая предупреждает пользователей о несвязанном с безопасностью недостатке и обманом заставляет их устанавливать плагин под видом исправления. Плагин, со своей стороны, создает пользователя-администратора и развертывает веб-оболочку для постоянного удаленного доступа.
Сукури сказал, что участники угрозы, стоящие за кампанией, используют статус "<a>ЗАРЕЗЕРВИРОВАНО</a>", связанный с идентификатором CVE, который возникает, когда он был зарезервирован для использования Центром нумерации CVE (CNA) или исследователем безопасности, но детали еще предстоит заполнить.
Это также связано с тем, что компания по безопасности веб-сайта обнаружила другую кампанию Magecart, которая использует коммуникационный протокол WebSocket для вставки кода скиммера на витринах онлайн-магазинов. Затем вредоносная программа запускается при нажатии поддельной кнопки "Завершить заказ", которая накладывается поверх законной кнопки оформления заказа.
В отчете Europol spotlight об онлайн-мошенничестве, опубликованном на этой неделе, цифровой скимминг описывается как постоянная угроза, которая приводит к краже, перепродаже и неправильному использованию данных кредитных карт. "Важной эволюцией цифрового скимминга является переход от использования внешнего вредоносного ПО к внутреннему вредоносному ПО, что затрудняет его обнаружение", - говорится в нем.
Правоохранительное агентство ЕС заявило, что оно также уведомило 443 онлайн-продавца о том, что данные кредитной или платежной карты их клиентов были скомпрометированы в результате скимминговых атак.
Group-IB, которая также сотрудничала с Европолом в рамках трансграничной операции по борьбе с киберпреступностью под кодовым названием Digital Skimming Action, заявила, что обнаружила и идентифицировала 23 семейства JS-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin, которые использовались против компаний в 17 разных странах Европы и Америки.
"По состоянию на конец 2023 года известно, что 132 семейства JS-снифферов взломали веб-сайты по всему миру", - добавила компания со штаб-квартирой в Сингапуре.
Это еще не все. Было обнаружено, что поддельная реклама в поиске Google и Twitter для криптовалютных платформ продвигает сборщика криптовалют по имени MS Drainer, который, по оценкам, с марта 2023 года уже похитил 58,98 миллиона долларов у 63 210 жертв через сеть из 10 072 фишинговых веб-сайтов.
"Ориентируясь на определенную аудиторию с помощью поисковых запросов Google и следующей базы X, они могут выбирать конкретные цели и запускать непрерывные фишинговые кампании по очень низкой цене", - сказал СкамСниффер.
По словам Сукури, скимминг является частью кампании Magecart, нацеленной на сайты электронной коммерции.
"Как и многие другие вредоносные или поддельные плагины WordPress, он содержит некоторую вводящую в заблуждение информацию в верхней части файла, чтобы придать ему видимость легитимности", - сказал исследователь безопасности Бен Мартин. "В этом случае в комментариях утверждается, что код является "Дополнением к кешу WordPress"."
Вредоносные плагины обычно попадают на сайты WordPress либо через скомпрометированного администратора, либо используя недостатки безопасности в другом плагине, уже установленном на сайте.
После установки плагин реплицируется в каталог mu-plugins (или обязательных плагинов), так что он автоматически включается и скрывает свое присутствие от панели администратора.
"Поскольку единственный способ удалить любой из mu-плагинов - это вручную удалить файл, вредоносная программа делает все возможное, чтобы предотвратить это", - объяснил Мартин. "Вредоносная программа выполняет это путем отмены регистрации функций обратного вызова для перехватов, которые обычно используют подобные плагины".
Мошенник также имеет возможность создавать и скрывать учетную запись администратора от законного администратора веб-сайта, чтобы избежать тревожных сигналов и иметь постоянный доступ к цели в течение длительных периодов времени.
Конечная цель кампании - внедрить вредоносное ПО для кражи кредитных карт на страницы оформления заказа и перенести информацию в домен, контролируемый участником.
"Поскольку многие заражения WordPress происходят от скомпрометированных пользователей-администраторов wp-admin, само собой разумеется, что им приходилось работать в рамках ограничений уровней доступа, которые у них есть, и установка плагинов, безусловно, является одной из ключевых способностей, которыми обладают администраторы WordPress", - сказал Мартин.
Раскрытие поступило через несколько недель после того, как сообщество безопасности WordPress <a>предупредило</a> о фишинговой кампании, которая предупреждает пользователей о несвязанном с безопасностью недостатке и обманом заставляет их устанавливать плагин под видом исправления. Плагин, со своей стороны, создает пользователя-администратора и развертывает веб-оболочку для постоянного удаленного доступа.
Сукури сказал, что участники угрозы, стоящие за кампанией, используют статус "<a>ЗАРЕЗЕРВИРОВАНО</a>", связанный с идентификатором CVE, который возникает, когда он был зарезервирован для использования Центром нумерации CVE (CNA) или исследователем безопасности, но детали еще предстоит заполнить.
Это также связано с тем, что компания по безопасности веб-сайта обнаружила другую кампанию Magecart, которая использует коммуникационный протокол WebSocket для вставки кода скиммера на витринах онлайн-магазинов. Затем вредоносная программа запускается при нажатии поддельной кнопки "Завершить заказ", которая накладывается поверх законной кнопки оформления заказа.
В отчете Europol spotlight об онлайн-мошенничестве, опубликованном на этой неделе, цифровой скимминг описывается как постоянная угроза, которая приводит к краже, перепродаже и неправильному использованию данных кредитных карт. "Важной эволюцией цифрового скимминга является переход от использования внешнего вредоносного ПО к внутреннему вредоносному ПО, что затрудняет его обнаружение", - говорится в нем.
Правоохранительное агентство ЕС заявило, что оно также уведомило 443 онлайн-продавца о том, что данные кредитной или платежной карты их клиентов были скомпрометированы в результате скимминговых атак.
Group-IB, которая также сотрудничала с Европолом в рамках трансграничной операции по борьбе с киберпреступностью под кодовым названием Digital Skimming Action, заявила, что обнаружила и идентифицировала 23 семейства JS-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin, которые использовались против компаний в 17 разных странах Европы и Америки.
"По состоянию на конец 2023 года известно, что 132 семейства JS-снифферов взломали веб-сайты по всему миру", - добавила компания со штаб-квартирой в Сингапуре.
Это еще не все. Было обнаружено, что поддельная реклама в поиске Google и Twitter для криптовалютных платформ продвигает сборщика криптовалют по имени MS Drainer, который, по оценкам, с марта 2023 года уже похитил 58,98 миллиона долларов у 63 210 жертв через сеть из 10 072 фишинговых веб-сайтов.
"Ориентируясь на определенную аудиторию с помощью поисковых запросов Google и следующей базы X, они могут выбирать конкретные цели и запускать непрерывные фишинговые кампании по очень низкой цене", - сказал СкамСниффер.
