Los cazadores de amenazas han descubierto un complemento fraudulento de WordPress que es capaz de crear usuarios administradores falsos e inyectar código JavaScript malicioso para robar información de tarjetas de crédito.
La actividad de lectura es parte de una campaña de Magecart dirigida a sitios web de comercio electrónico, según Sucuri.
«Como ocurre con muchos otros complementos de WordPress maliciosos o falsos, contiene información engañosa en la parte superior del archivo para darle una apariencia de legitimidad», dijo el investigador de seguridad Ben Martin. dicho. «En este caso, los comentarios afirman que el código es ‘Complementos de caché de WordPress'».
Los complementos maliciosos generalmente llegan a los sitios de WordPress a través de un usuario administrador comprometido o de la explotación de fallas de seguridad en otro complemento ya instalado en el sitio.
Después de la instalación, el complemento se replica en el complementos mu (o complementos imprescindibles) para que se habilite automáticamente y oculte su presencia en el panel de administración.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
«Dado que la única forma de eliminar cualquiera de los complementos mu es eliminando manualmente el archivo, el malware hace todo lo posible para evitarlo», explicó Martin. «El malware logra esto anulando el registro de funciones de devolución de llamadas para ganchos que normalmente usan complementos como este».
El fraudulento también viene con una opción para crear y ocultar una cuenta de usuario administrador del administrador legítimo del sitio web para evitar generar señales de alerta y tener acceso sostenido al objetivo durante períodos prolongados de tiempo.
El objetivo final de la campaña es inyectar malware para robar tarjetas de crédito en las páginas de pago y exfiltrar la información a un dominio controlado por el actor.
«Dado que muchas infecciones de WordPress ocurren por parte de usuarios administradores de wp-admin comprometidos, es lógico que hayan necesitado trabajar dentro de las limitaciones de los niveles de acceso que tienen, y la instalación de complementos es sin duda una de las habilidades clave que poseen los administradores de WordPress. «, dijo Martín.
La divulgación llega semanas después de que la comunidad de seguridad de WordPress prevenido de una campaña de phishing que advierte a los usuarios sobre una falla de seguridad no relacionada y los engaña para que instalen un complemento bajo la apariencia de un parche. El complemento, por su parte, crea un usuario administrador e implementa un shell web para acceso remoto persistente.
Sucuri dijo que los actores de amenazas detrás de la campaña están aprovechando el «RESERVADO«estado asociado con un identificador CVE, que ocurre cuando ha sido reservado para su uso por una Autoridad de Numeración CVE (CNA) o un investigador de seguridad, pero los detalles aún no se han completado.
También se presenta como la empresa de seguridad de sitios web. descubierto otra campaña de Magecart que utiliza el protocolo de comunicaciones WebSocket para insertar el código de skimmer en escaparates en línea. Luego, el malware se activa al hacer clic en un botón falso de «Completar pedido» que se superpone al botón de pago legítimo.
El informe destacado de Europol sobre el fraude en línea publicado esta semana describió el robo digital como una amenaza persistente que resulta en el robo, la reventa y el uso indebido de datos de tarjetas de crédito. «Una evolución importante en el skimming digital es el paso del uso de malware de front-end a malware de back-end, lo que hace que sea más difícil de detectar», afirma. dicho.
La agencia policial de la UE dicho También notificó a 443 comerciantes en línea que los datos de las tarjetas de crédito o de pago de sus clientes se habían visto comprometidos mediante ataques de skimming.
Group-IB, que también se asoció con Europol en la operación transfronteriza de lucha contra el cibercrimen cuyo nombre en código es Digital Skimming Action, dijo que detectó e identificó 23 familias de rastreadores de JS, incluidos ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter y R3nin. que se utilizaron contra empresas en 17 países diferentes de Europa y América.
«En total, se sabe que, a finales de 2023, 132 familias de rastreadores JS tenían sitios web comprometidos en todo el mundo», dijo la empresa con sede en Singapur. agregado.
Eso no es todo. Se ha descubierto que anuncios falsos en la Búsqueda de Google y Twitter para plataformas de criptomonedas promocionan un drenador de criptomonedas llamado MS Drainer que se estima que ya ha saqueado 58,98 millones de dólares de 63.210 víctimas desde marzo de 2023 a través de una red de 10.072 sitios web de phishing.
«Al dirigirse a audiencias específicas a través de términos de búsqueda de Google y la siguiente base de X, pueden seleccionar objetivos específicos y lanzar campañas continuas de phishing a un costo muy bajo», ScamSniffer dicho.