Les chasseurs de menaces ont découvert un plugin WordPress malveillant capable de créer de faux utilisateurs administrateurs et d’injecter du code JavaScript malveillant pour voler des informations de carte de crédit.
L’activité d’écrémage fait partie d’une campagne Magecart ciblant les sites Web de commerce électronique, selon Sucuri.
« Comme beaucoup d’autres plugins WordPress malveillants ou faux, il contient des informations trompeuses en haut du fichier pour lui donner un vernis de légitimité », a déclaré le chercheur en sécurité Ben Martin. dit. « Dans ce cas, les commentaires prétendent que le code est « WordPress Cache Addons ».
Les plugins malveillants se retrouvent généralement sur les sites WordPress via un utilisateur administrateur compromis ou l’exploitation de failles de sécurité dans un autre plugin déjà installé sur le site.
Après l’installation, le plugin se réplique sur le plugins mu (ou des plugins à utiliser) afin qu’il soit automatiquement activé et masque sa présence dans le panneau d’administration.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« Étant donné que la seule façon de supprimer l’un des plugins mu est de supprimer manuellement le fichier, le malware fait tout son possible pour empêcher cela », a expliqué Martin. « Le malware y parvient en désenregistrant les fonctions de rappel pour les hooks que des plugins comme celui-ci utilisent normalement. »
Le fraudeur est également doté d’une option permettant de créer et de masquer un compte d’utilisateur administrateur auprès de l’administrateur légitime du site Web afin d’éviter de déclencher des signaux d’alarme et d’avoir un accès continu à la cible pendant des périodes prolongées.
L’objectif ultime de la campagne est d’injecter des logiciels malveillants de vol de cartes de crédit dans les pages de paiement et d’exfiltrer les informations vers un domaine contrôlé par des acteurs.
« Étant donné que de nombreuses infections WordPress proviennent d’utilisateurs administrateurs wp-admin compromis, il va de soi qu’ils ont dû travailler dans les limites des niveaux d’accès dont ils disposent, et l’installation de plugins est certainement l’une des capacités clés que possèdent les administrateurs WordPress. « , a déclaré Martin.
La divulgation arrive des semaines après la communauté de sécurité WordPress averti d’une campagne de phishing qui avertit les utilisateurs d’une faille de sécurité sans rapport et les incite à installer un plugin sous couvert d’un correctif. Le plugin, pour sa part, crée un utilisateur administrateur et déploie un shell Web pour un accès à distance persistant.
Sucuri a déclaré que les acteurs menaçants derrière la campagne exploitent le « RÉSERVÉ » statut associé à un identifiant CVE, ce qui se produit lorsqu’il a été réservé pour être utilisé par une autorité de numérotation CVE (CNA) ou un chercheur en sécurité, mais les détails doivent encore être renseignés.
Il s’agit également d’une société de sécurité de sites Web découvert une autre campagne Magecart qui utilise le protocole de communication WebSocket pour insérer le code écumeur sur les vitrines en ligne. Le logiciel malveillant est ensuite déclenché en cliquant sur un faux bouton « Terminer la commande » superposé au bouton de paiement légitime.
Le rapport phare d’Europol sur la fraude en ligne publié cette semaine décrit l’écrémage numérique comme une menace persistante qui entraîne le vol, la revente et l’utilisation abusive des données des cartes de crédit. « Une évolution majeure dans l’écrémage numérique est le passage de l’utilisation de logiciels malveillants front-end à des logiciels malveillants back-end, ce qui les rend plus difficiles à détecter », indique-t-on. dit.
L’agence chargée de l’application des lois de l’UE dit il a également informé 443 commerçants en ligne que les données des cartes de crédit ou de paiement de leurs clients avaient été compromises par des attaques de skimming.
Group-IB, qui s’est également associé à Europol dans le cadre de l’opération transfrontalière de lutte contre la cybercriminalité baptisée Digital Skimming Action, a déclaré avoir détecté et identifié 23 familles de renifleurs JS, dont ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter et R3nin, qui ont été utilisés contre des entreprises dans 17 pays différents à travers l’Europe et les Amériques.
« Au total, fin 2023, 132 familles de renifleurs JS auraient compromis des sites Web dans le monde », a déclaré la société basée à Singapour. ajoutée.
Ce n’est pas tout. Il a été constaté que de fausses publicités sur les recherches Google et Twitter pour les plateformes de crypto-monnaie faisaient la promotion d’un draineur de crypto-monnaie nommé MS Drainer, qui aurait déjà pillé 58,98 millions de dollars auprès de 63 210 victimes depuis mars 2023 via un réseau de 10 072 sites Web de phishing.
« En ciblant des publics spécifiques via les termes de recherche Google et la base de X suivante, ils peuvent sélectionner des cibles spécifiques et lancer des campagnes de phishing continues à un coût très faible », ScamSniffer dit.