Plugin WordPress giả mạo khiến các trang web thương mại điện tử bị đánh cắp dữ liệu thẻ tín dụng

Plugin WordPress giả mạo khiến các trang web thương mại điện tử bị đánh cắp dữ liệu thẻ tín dụng

Những chuyên gia bảo mật chuyên săn mối đe dọa đã phát hiện ra một plugin WordPress lừa đảo có khả năng tạo người dùng quản trị viên giả mạo và tiêm mã JavaScript độc hại để đánh cắp thông tin thẻ tín dụng.

Theo Sucuri, hoạt động này là một phần của chiến dịch Magecart nhắm vào các trang web thương mại điện tử.

Nhà nghiên cứu bảo mật Ben Martin cho biết: “Cũng như nhiều plugin WordPress giả mạo hoặc độc hại khác, nó chứa một số thông tin lừa đảo ở đầu tệp để tạo cho nó vẻ ngoài hợp pháp”. "Trong trường hợp này, các nhận xét khẳng định mã là 'Phần bổ trợ bộ đệm WordPress.'"

Các plugin độc hại thường tìm đường đến các trang web WordPress thông qua người dùng quản trị viên bị xâm nhập hoặc khai thác các lỗ hổng bảo mật trong một plugin khác đã được cài đặt trên trang web.

Sau khi cài đặt, plugin sẽ tự sao chép vào thư mục mu-plugins (hoặc các plugin phải sử dụng) để nó được kích hoạt tự động và ẩn sự hiện diện của nó khỏi bảng quản trị.

Martin giải thích: “Vì cách duy nhất để xóa bất kỳ mu-plugin nào là xóa tệp theo cách thủ công nên phần mềm độc hại sẽ không thể ngăn chặn điều này”. “Phần mềm độc hại thực hiện điều này bằng cách hủy đăng ký các chức năng gọi lại cho các hook mà các plugin như thế này thường sử dụng.”

Plugin lừa đảo cũng đi kèm với tùy chọnF để tạo và ẩn tài khoản người dùng quản trị viên khỏi quản trị viên trang web hợp pháp nhằm tránh bị treo cờ đỏ và có quyền truy cập liên tục vào mục tiêu trong thời gian dài.

Mục tiêu cuối cùng của chiến dịch là tiêm phần mềm độc hại đánh cắp thẻ tín dụng vào các trang thanh toán và lọc thông tin sang miền do tác nhân kiểm soát.

"Vì nhiều trường hợp lây nhiễm WordPress xảy ra từ người dùng quản trị viên wp-admin bị xâm nhập nên lý do là họ cần phải làm việc trong giới hạn về cấp độ truy cập mà họ có và việc cài đặt plugin chắc chắn là một trong những khả năng chính mà quản trị viên WordPress sở hữu. ", Martin nói.

Tiết lộ này xuất hiện vài tuần sau khi cộng đồng bảo mật WordPress cảnh báo về một chiến dịch lừa đảo cảnh báo người dùng về một lỗ hổng bảo mật không liên quan trong hệ thống quản lý nội dung web và lừa họ cài đặt một plugin dưới vỏ bọc một bản vá. Về phần mình, plugin này tạo người dùng quản trị và triển khai web shell để truy cập từ xa liên tục.

Sucuri cho biết các tác nhân đe dọa đằng sau chiến dịch này đang lợi dụng trạng thái "ĐẶT TRƯỚC" được liên kết với số nhận dạng CVE, điều này xảy ra khi nó được Cơ quan đánh số CVE (CNA) hoặc nhà nghiên cứu bảo mật dành riêng để sử dụng, nhưng thông tin chi tiết vẫn chưa được tiết lộ.

Nó cũng xảy ra khi công ty bảo mật trang web phát hiện ra một chiến dịch Magecart khác sử dụng giao thức truyền thông WebSocket để chèn mã skimmer trên các cửa hàng trực tuyến. Sau đó, phần mềm độc hại được kích hoạt khi nhấp vào nút "Hoàn thành đơn hàng" giả mạo được phủ lên trên nút thanh toán hợp pháp.

Báo cáo nổi bật của Europol về gian lận trực tuyến được công bố trong tuần này đã mô tả việc đọc lướt kỹ thuật số là mối đe dọa dai dẳng dẫn đến việc đánh cắp, bán lại và lạm dụng dữ liệu thẻ tín dụng. Nó cho biết: “Một sự phát triển lớn trong việc đọc lướt kỹ thuật số là sự chuyển đổi từ việc sử dụng phần mềm độc hại từ đầu sang phần mềm độc hại ở phần cuối, khiến việc phát hiện nó trở nên khó khăn hơn”.

Cơ quan thực thi pháp luật của Liên minh châu Âu cho biết họ cũng đã thông báo cho 443 người bán hàng trực tuyến rằng dữ liệu thẻ tín dụng hoặc thẻ thanh toán của khách hàng của họ đã bị xâm phạm thông qua các cuộc tấn công lướt qua.

Group-IB, cũng hợp tác với Europol trong hoạt động chống tội phạm mạng xuyên biên giới có tên mã Digital Skimming Action, cho biết họ đã phát hiện và xác định 23 dòng JS-sniffers, bao gồm ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter và R3nin, được sử dụng để chống lại các công ty ở 17 quốc gia khác nhau trên khắp Châu Âu và Châu Mỹ.

Công ty có trụ sở tại Singapore cho biết thêm: “Tính đến cuối năm 2023, có 132 dòng JS-sniffer được biết là đã xâm phạm các trang web trên toàn thế giới”.

Đó chưa phải là tất cả. Các quảng cáo giả mạo trên Google Tìm kiếm và Twitter dành cho các nền tảng tiền điện tử đã được phát hiện để quảng cáo một công cụ rút tiền điện tử có tên MS Drainer. Người ta ước tính đã cướp được 58,98 triệu USD từ 63.210 nạn nhân kể từ tháng 3 năm 2023 thông qua mạng lưới 10.072 trang web lừa đảo.

ScamSniffer cho biết: “Bằng cách nhắm mục tiêu các đối tượng cụ thể thông qua cụm từ tìm kiếm của Google và cơ sở X sau đây, họ có thể chọn các mục tiêu cụ thể và khởi chạy các chiến dịch lừa đảo liên tục với chi phí rất thấp”.

Hương – Theo TheHackerNews