クレジットカードスキミング、資格情報の窃取、ユーザープロファイリングを含む高度に洗練された機能を持つ新たに発見されたマルウェアキャンペーンが、サイバーセキュリティ研究者によって特定されました。
Wordfenceの脅威インテリジェンスチームによると、このマルウェアは2025年5月16日に発見され、不正なWordPressプラグインとしてパッケージ化され、感染したウェブサイトにホストされたライブバックエンドシステムを含む新しい検出回避技術が使用されていました。
この方法は、WordPressに焦点を当てた攻撃では以前には見られませんでした。
進化する戦術を持つ長期的な作戦
このキャンペーンは少なくとも2023年9月から活動しているようです。Wordfenceは20以上のマルウェアサンプルを分析し、すべてのバリアントに共通する特徴を発見しました。これには難読化、分析回避技術、開発者ツール検出、ターゲット実行が含まれます。
例えば、マルウェアは管理者ページでは実行を避け、代わりにチェックアウト画面でのみ起動し、同じユーザーを再ターゲットしないように以前の感染を確認することもあります。
開発者ツール回避技術についてもっと読む: Embargoランサムウェアギャングがカスタマイズされた防御回避ツールを展開
最新のバージョンでは、カスタムHTMLオーバーレイ、偽の支払いフォーム、Cloudflareページを模倣したローカライズされた人間確認チャレンジも含まれていました。
多くの場合、盗まれたデータは画像URLに偽装されたBase64エンコード文字列を通じて流出されました。
モジュラーフレームワークとして機能するマルウェアファミリー
このマルウェアキャンペーンはスキミングに限定されませんでした。研究者は、異なる目的を持つ3つの追加バリアントを発見しました。
あるバリアントはGoogle Adsを操作してモバイルユーザーに不正広告を提供し、別のバリアントはWordPressの資格情報を盗みました。一方、3つ目はリンク置換を通じて追加のマルウェアを配布しました。すべての場合において、コアフレームワークは一貫しており、各ユースケースに合わせて機能が適応されていました。
一部のバージョンでは、リアルタイムのデータ流出とユーザーアクショントラッキングにTelegramを使用しました。
マルウェアホストとして使用された不正プラグイン
最も注目すべき発見の一つは、「WordPress Core」という名前の偽のWordPressプラグインでした。表面上は正当なものに見えますが、そのコンポーネントにはJavaScriptスキマーやPHPスクリプトが含まれており、攻撃者が感染したウェブサイトから直接盗まれたデータを管理できるようにしていました。
このプラグインはWooCommerceフックを使用して不正注文を完了済みとしてマークし、検出を遅らせました。そのバックエンドインフラストラクチャには、「messages」というカスタム投稿タイプが含まれており、WordPress自体に盗まれた支払いデータを保存していました。
妥協の指標(IoC)には、api-service-188910982.website、graphiccloudcontent.com、およびapi.telegram.org/bot[…]chat_id=-4672047987などのドメイン名が含まれます。
翻訳元: https://www.infosecurity-magazine.com/news/rogue-wordpress-plugin-skim-credit/