Threat hunters ได้ค้นพบปลั๊กอิน WordPress ที่ผิดปกติซึ่งสามารถสร้าง administrator users ปลอม และ injecting JavaScript ที่เป็นอันตรายเพื่อขโมยข้อมูลบัตรเครดิตได้
การ skimming นี้เป็นส่วนหนึ่งของแคมเปญ Magecart ที่ใช้โจมตีเว็บไซต์ e-commerce
นักวิจัยความปลอดภัย Ben Martin ระบุว่า "เช่นเดียวกับปลั๊กอิน WordPress ที่เป็นอันตราย หรือปลอมอื่น ๆ ปลั๊กอินนี้มีข้อมูลหลอกลวงอยู่เพื่อให้ดูมีความน่าเชื่อถือ โดยในกรณีนี้ มีการใส่ความคิดเห็นอ้างที่ว่าโค้ดนี้เป็น 'WordPress Cache Addons'"
ปลั๊กอินที่เป็นอันตรายมักเข้าสู่เว็บไซต์ WordPress ได้โดยทั่วไปผ่านบัญชีผู้ดูแลระบบที่ถูกโจมตี หรือการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในปลั๊กอินอื่นที่ติดตั้งอยู่บนเว็บไซต์อยู่แล้ว
หลังจากการติดตั้ง ปลั๊กอินจะคัดลอกตัวเองไปยังไดเรกทอรี "mu-plugins" (หรือ must-use plugins) เพื่อให้เปิดใช้งานโดยอัตโนมัติ และซ่อนการมีอยู่ของตัวเองจาก admin panel
Martin ระบุว่า "เนื่องจากวิธีเดียวที่จะลบปลั๊กอิน mu-plugins ได้คือการลบไฟล์ด้วยตนเอง มัลแวร์จึงทำทุกทางเพื่อป้องกันการกระทำนี้ โดยมัลแวร์จะทำการยกเลิกการลงทะเบียนฟังก์ชัน callback สำหรับ hooks ที่ปลั๊กอินลักษณะนี้ใช้ตามปกติ"
ปลั๊กอินปลอมยังมาพร้อมกับ optionF เพื่อสร้าง และซ่อนบัญชีผู้ดูแลระบบจากผู้ดูแลเว็บไซต์ที่ถูกต้อง เพื่อหลีกเลี่ยงการแจ้งเตือนปัญหา และมีสิทธิ์เข้าถึงเป้าหมายอย่างต่อเนื่องเป็นระยะเวลานาน
เป้าหมายสูงสุดของแคมเปญนี้คือ การฝังมัลแวร์ขโมยข้อมูลบัตรเครดิตในหน้าชำระเงิน และขโมยข้อมูลเพื่อส่งไปยังโดเมนที่ควบคุมโดยผู้โจมตี
Martin ระบุว่า "เนื่องจากการติดมัลแวร์บน WordPress จำนวนมากเกิดขึ้นจากควบคุมบัญชีผู้ดูแลระบบ wp-admin เนื่องจากผู้ดูแลระบบส่วนใหญ่ต้องใช้สิทธิ์สูงในการดำเนินการต่าง ๆ และการติดตั้งปลั๊กอินก็ถือเป็นหนึ่งในความสามารถหลักที่ผู้ดูแลระบบ WordPress ต้องใช้งาน
รายงานยี้เกิดขึ้นภายหลังจากที่ WordPress security community ออกมาแจ้งเตือนเกี่ยวกับแคมเปญฟิชชิ่งที่หลอกลวงผู้ใช้งานด้วยการอ้างว่าพบช่องโหว่ความปลอดภัยในระบบจัดการเนื้อหาเว็บไซต์ และหลอกให้ติดตั้งปลั๊กอินโดยอ้างว่าเป็นแพตช์แก้ไขช่องโหว่นั้น ปลั๊กอินตัวนี้จะสร้างบัญชีผู้ดูแลระบบใหม่ และติดตั้งเว็บเชลล์เพื่อเข้าถึงเว็บไซต์จากระยะไกลอย่างต่อเนื่อง
Sucuri รายงานว่าผู้โจมตีที่อยู่เบื้องหลังแคมเปญฟิชชิ่งนี้กำลังใช้ประโยชน์จากสถานะ "RESERVED" ที่เชื่อมโยงกับตัวระบุ CVE ซึ่งเกิดขึ้นเมื่อตัวระบุนั้นถูกสงวนไว้สำหรับใช้โดย CVE Numbering Authority (CNA) หรือผู้วิจัยด้านความปลอดภัย แต่รายละเอียดต่าง ๆ ยังไม่ได้รับการแก้ไข
นอกจากนี้ ยังเกิดขึ้นในขณะที่บริษัทรักษาความปลอดภัยเว็บไซต์ได้ค้นพบแคมเปญ Magecart อื่น ที่ใช้โปรโตคอล WebSocket เพื่อฝังรหัส skimmer ในร้านค้าออนไลน์ ซึ่งมัลแวร์จะทำงานเมื่อคลิกปุ่ม "Complete Order" ปลอมที่ซ้อนทับบนปุ่มชำระเงินจริง
รายงานล่าสุดของ Europol เกี่ยวกับการทุจริตออนไลน์ที่เผยแพร่ในสัปดาห์นี้ ระบุถึง 'digital skimming' ว่าเป็นภัยคุกคามต่อเนื่องที่ส่งผลให้เกิดการขโมย ขายต่อ และใช้ข้อมูลบัตรเครดิตอย่างผิดวัตถุประสงค์ วิวัฒนาการที่สำคัญอย่างหนึ่งของ digital skimming คือการเปลี่ยนจากการใช้มัลแวร์ front-end ไปเป็นมัลแวร์ back-end ทำให้ตรวจจับได้ยากขึ้น
หน่วยงานด้านกฎหมายของสหภาพยุโรป (Europol) ระบุว่า พวกเขาได้แจ้งเตือนผู้ค้าออนไลน์จำนวน 443 ราย ว่าข้อมูลบัตรเครดิต หรือบัตรชำระเงินของลูกค้าของพวกเขาอาจถูกโจรกรรมผ่านการโจมตีในลักษณะ skimming
Group-IB ได้ร่วมมือกับ Europol ในการปราบปรามอาชญากรรมไซเบอร์ข้ามประเทศ ภายใต้ชื่อ Digital Skimming Action เปิดเผยว่า พวกเขาได้ตรวจพบ และระบุตัวตนของ JS-sniffers ถึง 23 ชนิด ซึ่งรวมถึง ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter และ R3nin ซึ่งถูกนำไปใช้โจมตีบริษัทต่าง ๆ ใน 17 ประเทศทั่วทั้งยุโรป และอเมริกา
ณ สิ้นปี 2023 บริษัทที่ตั้งอยู่ในสิงคโปร์ระบุว่า มีชนิดของ JS-sniffer ที่โจมตีเว็บไซต์ทั่วโลกมากถึง 132 ชนิด
นอกจากนั้น ยังพบโฆษณาปลอมสำหรับแพลตฟอร์ม cryptocurrency ปรากฏอยู่ในทั้ง Google Search และ Twitter โดยโฆษณาเหล่านี้ชักนำไปสู่ MS Drainer ซึ่งเป็นโปรแกรมขโมยเงินคริปโต ซึ่งคาดว่าตั้งแต่เดือนมีนาคม 2023 MS Drainer ได้ขโมยเงินไปแล้วกว่า 58.98 ล้านดอลลาร์ จากเหยื่อ 63,210 คน ผ่านเครือข่ายเว็บไซต์ฟิชชิ่ง 10,072 เว็บไซต์
ScamSniffer ระบุว่า "ด้วยการโจมตีกลุ่มเป้าหมายเฉพาะผ่าน Google search terms และฐานข้อมูลข้อมูลบัญชีซึ่งมีที่มาจาก X, พวกเขาสามารถเลือกเป้าหมายที่เฉพาะเจาะจง และเปิดตัวแคมเปญ phishing ต่อเนื่องได้ด้วยต้นทุนที่ต่ำมาก"
ที่มา : https://thehackernews.com/2023/12/rogue-wordpress-plugin-exposes-e.html
You must be logged in to post a comment.