Rischio: Plugin WordPress Fraudolento Espone Siti E-commerce al Furto di Carte di Credito
Recentemente, cacciatori di minacce hanno scoperto un pericoloso plugin WordPress fraudolento. Questo plugin è in grado di creare utenti amministratori falsi e inserire codice JavaScript malevolo per estrarre informazioni sensibili dalle carte di credito.
Questa attività di skimming malevola fa parte di una campagna più ampia di Magecart, che mira strategicamente ai siti e-commerce, una scoperta significativa evidenziata da Sucuri.
Il ricercatore di sicurezza Ben Martin ha sottolineato: “Similmente ad altri plugin WordPress ingannevoli, questo plugin include informazioni fuorvianti nell’intestazione del file per fingere autenticità.” In particolare, i commenti nel codice affermano la sua natura come ‘WordPress Cache Addons’.
Solitamente, questi plugin dannosi si infiltrano nei siti WordPress tramite account amministratori compromessi o sfruttando falle di sicurezza presenti in altri plugin installati sul sito.
Dopo l’installazione, il plugin si replica nella directory mu-plugins (must-use plugins), attivandosi automaticamente e nascondendo abilmente la sua presenza dal pannello di amministrazione del sito.
Martin ha approfondito: “Poiché l’unico modo per eliminare uno qualsiasi dei mu-plugins è tramite l’eliminazione manuale, il malware adotta misure mirate per prevenirlo. Lo fa disiscrivendo funzioni di callback per hook che plugin di questo tipo utilizzano di solito.”
Inoltre, questo plugin fraudolento offre la possibilità di creare e nascondere un account utente amministratore dal vero amministratore del sito. Questa strategia mira ad evitare la rilevazione e a mantenere un accesso continuo all’obiettivo per periodi prolungati.
L’obiettivo principale di questa campagna nefasta è di introdurre silenziosamente malware nelle pagine di checkout, facilitando l’estrazione e la trasmissione di dati sensibili delle carte di credito verso un dominio controllato dagli attori malintenzionati.
Martin ha sottolineato: “Considerando che numerose infezioni WordPress derivano da utenti amministratori wp-admin compromessi, è plausibile che siano stati limitati dai loro livelli di accesso. La capacità di installare plugin rimane una delle principali capacità possedute dagli amministratori WordPress.”
Questa divulgazione segue recenti avvisi all’interno della comunità di sicurezza WordPress riguardo a una campagna di phishing che inganna gli utenti su una vulnerabilità di sicurezza non correlata, inducendoli ad installare un plugin mascherato come patch di sicurezza. Successivamente, questo plugin dannoso crea un utente amministratore e implementa una web shell per un accesso remoto persistente.
Sucuri ha segnalato che gli attori delle minacce dietro a questa campagna stanno sfruttando lo stato “RISERVATO” associato a un identificatore CVE, indicando i dettagli ancora da completare.
Inoltre, Sucuri ha identificato un’altra campagna di Magecart che utilizza il protocollo di comunicazione WebSocket per inserire codice di skimming nei negozi online. Questo malware nefasto si attiva quando si fa clic su un falso pulsante “Completa Ordine” sovrapposto al pulsante di checkout legittimo.
Il recente rapporto di rilievo di Europol sulle frodi online ha evidenziato lo skimming digitale come una minaccia persistente che porta al furto, rivendita e abuso dei dati delle carte di credito. Il rapporto ha evidenziato un passaggio da malware front-end a malware back-end nello skimming digitale, rendendo la rilevazione più difficile.
Europol ha anche informato 443 commercianti online di dati di carte di credito o di pagamento compromessi a causa di attacchi di skimming.
Group-IB, in collaborazione con Europol, ha identificato 23 famiglie di JS-sniffer, tra cui ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter e R3nin, utilizzati contro aziende in 17 paesi in Europa e nelle Americhe.
La società con sede a Singapore ha aggiunto: “A partire dalla fine del 2023, sono conosciute un totale di 132 famiglie di JS-sniffer che hanno compromesso siti web in tutto il mondo.”
Inoltre, falsi annunci su Google Search e Twitter per piattaforme di criptovalute sono stati individuati, promuovendo un drainer di criptovalute chiamato MS Drainer. Questo drainer avrebbe rubato $58,98 milioni da 63.210 vittime da marzo 2023 attraverso una rete di 10.072 siti di phishing.
“Indirizzando pubblici specifici attraverso termini di ricerca Google e una base di seguaci di X, possono selezionare bersagli specifici e lanciare continue campagne di phishing a un costo molto basso,” come dichiarato da ScamSniffer.