Plugin WordPress giả mạo khiến các trang web thương mại điện tử bị đánh cắp dữ liệu thẻ tín dụng

www.tuoitre.vn -   22/12/2023 08:00:00 179

Những chuyên gia bảo mật chuyên săn mối đe dọa đã phát hiện ra một plugin WordPress lừa đảo có khả năng tạo người dùng quản trị viên giả mạo và tiêm mã JavaScript độc hại để đánh cắp thông tin thẻ tín dụng.

Plugin WordPress giả mạo khiến các trang web thương mại điện tử bị đánh cắp dữ liệu thẻ tín dụng

Theo Sucuri, hoạt động này là một phần của chiến dịch Magecart nhắm vào các trang web thương mại điện tử.

Nhà nghiên cứu bảo mật Ben Martin cho biết: “Cũng như nhiều plugin WordPress giả mạo hoặc độc hại khác, nó chứa một số thông tin lừa đảo ở đầu tệp để tạo cho nó vẻ ngoài hợp pháp”. "Trong trường hợp này, các nhận xét khẳng định mã là 'Phần bổ trợ bộ đệm WordPress.'"

Các plugin độc hại thường tìm đường đến các trang web WordPress thông qua người dùng quản trị viên bị xâm nhập hoặc khai thác các lỗ hổng bảo mật trong một plugin khác đã được cài đặt trên trang web.

Sau khi cài đặt, plugin sẽ tự sao chép vào thư mục mu-plugins (hoặc các plugin phải sử dụng) để nó được kích hoạt tự động và ẩn sự hiện diện của nó khỏi bảng quản trị.

Martin giải thích: “Vì cách duy nhất để xóa bất kỳ mu-plugin nào là xóa tệp theo cách thủ công nên phần mềm độc hại sẽ không thể ngăn chặn điều này”. “Phần mềm độc hại thực hiện điều này bằng cách hủy đăng ký các chức năng gọi lại cho các hook mà các plugin như thế này thường sử dụng.”

Plugin lừa đảo cũng đi kèm với tùy chọnF để tạo và ẩn tài khoản người dùng quản trị viên khỏi quản trị viên trang web hợp pháp nhằm tránh bị treo cờ đỏ và có quyền truy cập liên tục vào mục tiêu trong thời gian dài.

Mục tiêu cuối cùng của chiến dịch là tiêm phần mềm độc hại đánh cắp thẻ tín dụng vào các trang thanh toán và lọc thông tin sang miền do tác nhân kiểm soát.

"Vì nhiều trường hợp lây nhiễm WordPress xảy ra từ người dùng quản trị viên wp-admin bị xâm nhập nên lý do là họ cần phải làm việc trong giới hạn về cấp độ truy cập mà họ có và việc cài đặt plugin chắc chắn là một trong những khả năng chính mà quản trị viên WordPress sở hữu. ", Martin nói.

Tiết lộ này xuất hiện vài tuần sau khi cộng đồng bảo mật WordPress cảnh báo về một chiến dịch lừa đảo cảnh báo người dùng về một lỗ hổng bảo mật không liên quan trong hệ thống quản lý nội dung web và lừa họ cài đặt một plugin dưới vỏ bọc một bản vá. Về phần mình, plugin này tạo người dùng quản trị và triển khai web shell để truy cập từ xa liên tục.

Sucuri cho biết các tác nhân đe dọa đằng sau chiến dịch này đang lợi dụng trạng thái "ĐẶT TRƯỚC" được liên kết với số nhận dạng CVE, điều này xảy ra khi nó được Cơ quan đánh số CVE (CNA) hoặc nhà nghiên cứu bảo mật dành riêng để sử dụng, nhưng thông tin chi tiết vẫn chưa được tiết lộ.

Nó cũng xảy ra khi công ty bảo mật trang web phát hiện ra một chiến dịch Magecart khác sử dụng giao thức truyền thông WebSocket để chèn mã skimmer trên các cửa hàng trực tuyến. Sau đó, phần mềm độc hại được kích hoạt khi nhấp vào nút "Hoàn thành đơn hàng" giả mạo được phủ lên trên nút thanh toán hợp pháp.

Báo cáo nổi bật của Europol về gian lận trực tuyến được công bố trong tuần này đã mô tả việc đọc lướt kỹ thuật số là mối đe dọa dai dẳng dẫn đến việc đánh cắp, bán lại và lạm dụng dữ liệu thẻ tín dụng. Nó cho biết: “Một sự phát triển lớn trong việc đọc lướt kỹ thuật số là sự chuyển đổi từ việc sử dụng phần mềm độc hại từ đầu sang phần mềm độc hại ở phần cuối, khiến việc phát hiện nó trở nên khó khăn hơn”.

Cơ quan thực thi pháp luật của Liên minh châu Âu cho biết họ cũng đã thông báo cho 443 người bán hàng trực tuyến rằng dữ liệu thẻ tín dụng hoặc thẻ thanh toán của khách hàng của họ đã bị xâm phạm thông qua các cuộc tấn công lướt qua.

Group-IB, cũng hợp tác với Europol trong hoạt động chống tội phạm mạng xuyên biên giới có tên mã Digital Skimming Action, cho biết họ đã phát hiện và xác định 23 dòng JS-sniffers, bao gồm ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter và R3nin, được sử dụng để chống lại các công ty ở 17 quốc gia khác nhau trên khắp Châu Âu và Châu Mỹ.

Công ty có trụ sở tại Singapore cho biết thêm: “Tính đến cuối năm 2023, có 132 dòng JS-sniffer được biết là đã xâm phạm các trang web trên toàn thế giới”.

Đó chưa phải là tất cả. Các quảng cáo giả mạo trên Google Tìm kiếm và Twitter dành cho các nền tảng tiền điện tử đã được phát hiện để quảng cáo một công cụ rút tiền điện tử có tên MS Drainer. Người ta ước tính đã cướp được 58,98 triệu USD từ 63.210 nạn nhân kể từ tháng 3 năm 2023 thông qua mạng lưới 10.072 trang web lừa đảo.

ScamSniffer cho biết: “Bằng cách nhắm mục tiêu các đối tượng cụ thể thông qua cụm từ tìm kiếm của Google và cơ sở X sau đây, họ có thể chọn các mục tiêu cụ thể và khởi chạy các chiến dịch lừa đảo liên tục với chi phí rất thấp”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 485
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 478
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

LIÊN HỆ

Thông tin liên hệ