I ricercatori di sicurezza hanno scoperto un plugin WordPress fraudolento capace di creare falsi utenti amministratori e iniettare codice JavaScript maligno per rubare informazioni sulle carte di credito. Questa attività di skimming fa parte di una campagna Magecart che prende di mira i siti web di e-commerce, secondo quanto riportato da Sucuri.
Come Funziona il Plugin Malware
Come molti altri plugin maligni o falsi, questo contiene informazioni ingannevoli all’inizio del file per dare un’apparenza di legittimità. In questo caso, i commenti affermano che il codice sia “WordPress Cache Addons”. I plugin maligni di solito arrivano sui siti WordPress tramite un utente amministratore compromesso o l’exploit di vulnerabilità di sicurezza in un altro plugin già installato sul sito.
Dopo l’installazione, il plugin si replica nella directory “mu-plugins” (o plugin obbligatori) in modo che sia automaticamente abilitato e nasconda la sua presenza dal pannello di amministrazione. Il malware impedisce la rimozione manuale dei file “mu-plugins” disabilitando le funzioni di callback per gli hook che i plugin di questo tipo normalmente utilizzano.
Obiettivi e Metodi della Campagna
L’obiettivo finale della campagna è iniettare malware per il furto di dati delle carte di credito nelle pagine di checkout ed esfiltrare le informazioni su un dominio controllato dall’attore della minaccia. Il plugin fraudolento include anche un’opzione per creare e nascondere un account utente amministratore dal legittimo amministratore del sito web per evitare di destare sospetti e mantenere l’accesso al target per lunghi periodi.
Contesto e Implicazioni
Questa rivelazione arriva settimane dopo che la comunità di sicurezza di WordPress ha avvertito di una campagna di phishing che induce gli utenti a installare un plugin sotto la falsa pretesa di una patch per una vulnerabilità di sicurezza. Il plugin, a sua volta, crea un utente amministratore e distribuisce una web shell per un accesso remoto persistente.
Sucuri ha anche scoperto un’altra campagna Magecart che utilizza il protocollo di comunicazione WebSocket per inserire il codice skimmer sui negozi online. Il malware viene attivato cliccando su un falso pulsante “Completa Ordine” sovrapposto al legittimo pulsante di checkout.
Conclusioni e Precauzioni
Queste scoperte evidenziano la necessità per i proprietari di siti web di essere vigili nella gestione dei plugin e nella sicurezza del loro sito. È fondamentale mantenere aggiornati tutti i plugin e i temi, utilizzare soluzioni di sicurezza affidabili e monitorare regolarmente l’integrità del sito per prevenire attacchi di skimming e altre minacce.