该恶意软件是在一个俄罗斯网络犯罪网站上发现的,它假冒 Stripe 等电子商务支付处理服务,从合法网站上窃取用户支付数据。
在俄罗斯网络犯罪论坛上发现的一个恶意插件通过创建虚假的在线支付流程,令人信服地冒充可信的结账服务,将 WordPress 网站变成了钓鱼网页。 该恶意软件伪装成 Stripe 等合法的电子商务应用程序,继续窃取客户的支付数据。 SlashNext 的研究人员在本周发布的研究结果中披露,这款 WordPress 插件名为 PhishWP,是由俄罗斯网络犯罪分子设计的,具有很强的欺骗性。 他们说,除了模仿人们熟悉的合法支付流程来完成在线交易外,该插件还有一个关键功能,即允许用户在交易过程中创建一次性密码(OTP),从而使交易支付流程看起来很安全。
然而,该支付网关并不处理付款,而是在人们输入个人数据时窃取信用卡号、有效期、CVV、账单地址等信息,以为他们在使用合法的支付网关。 一旦插件受害者按下 “回车 “键,数据就会被发送到网络犯罪分子控制的 Telegram 账户。 威胁者可以像使用其他 WordPress 插件一样使用该插件,方法是将其安装到合法但已被入侵的 WordPress 网站上,或者创建一个欺诈网站并在其中使用该插件。
“SlashNext安全研究员丹尼尔-凯利(Daniel Kelley)在文章中写道:”PhishWP的功能让虚假的结账页面看起来像真的,窃取安全代码,立即将你的详细信息发送给攻击者,并欺骗你以为一切都很顺利。
证书生命周期管理(CLM)公司 Sectigo 的高级研究员 Jason Soroko 指出:”这种数据的立即转换 “为网络犯罪分子提供了进行欺诈性购买或转售被盗数据的必要凭证–有时在捕获数据后几分钟内就能完成。
PhishWP 恶意软件的其他主要功能
OTP劫持是该插件的主要功能之一,这些功能结合在一起为攻击者提供了劫持支付页面的全套解决方案。 凯利写道,其中包括上述可定制的结账页面,通过 “极具说服力 “的虚假界面模拟常见的支付流程。 PhishWP 的另一项功能是浏览器剖析,它可以捕捉支付信息以外的数据,复制用户环境,用于未来潜在的欺诈行为。 该插件还通过使用自动回复电子邮件向受害者发送虚假订单确认信息,为被劫持的结账流程增加了合法性,从而延缓了受害者的怀疑,进而延缓了对攻击的检测。 如前所述,PhishWP 还与 Telegram 集成,可即时将窃取的数据传输给攻击者,以便实时利用。
该插件还有一个用于隐蔽目的的混淆版本,用户也可以使用其源代码进行高级攻击定制。 最后,PhishWP 还提供多语言支持,因此攻击者可以在全球范围内攻击受害者。
基于浏览器的保护,防止电子商务网络钓鱼
据提供 WordPress 主题的 Colorlib 公司称,由于 WordPress 平台的流行,为 WordPress 网站创建恶意插件已成为网络攻击者的一项小本生意,这为他们提供了广阔的攻击面。
PhishWP 或任何恶意 WordPress 插件之所以如此危险,原因之一是恶意程序直接内置在浏览器中,当它作为在线参与的合法部分出现时,就很难被检测到。 为了抵御此类威胁,SlashNext 建议使用网络钓鱼防护,这种防护也可以直接在浏览器中运行,在钓鱼网站到达最终用户之前就能发现它们。 这些解决方案可在各种浏览器中使用,可在浏览器内存中工作,在用户访问恶意 URL 之前将其拦截。 该公司表示,这提供了传统安全措施可能忽略的实时威胁检测和拦截功能。
信息来源:https://www.darkreading.com/threat-intelligence/phishwp-plugin-hijacks-wordpress-e-commerce-checkouts