Awas! Plugin WordPress Pencuri Kartu Kredit Berkedok Patch
Berita Cybersecurity, Plugin WordPress Pencuri Kartu Kredit - Threat hunting telah menemukan plugin WordPress pencuri kartu kredit berkedok patch yang mampu membuat pengguna administrator palsu dan menginject kode JavaScript berbahaya.
Aktivitas skimming ini merupakan bagian dari operasi Magecart yang menargetkan situs web e-commerce, menurut laporan Sucuri.
"Sama seperti banyak plugin WordPress berbahaya atau palsu lainnya, plugin ini berisi informasi yang menyesatkan di bagian atas file untuk memberinya tampilan legitimasi," kata peneliti keamanan Ben Martin. "Dalam kasus ini, komentar menyatakan bahwa kode tersebut adalah 'WordPress Cache Addons.'"
Plugin berbahaya ini biasanya menyebar ke situs WordPress melalui pengguna admin yang disusupi atau dengan mengeksploitasi kerentanan pada plugin lain yang sudah diinstal di situs tersebut.
Setelah diinstal, plugin ini menduplikat dirinya ke direktori mu-plugins (atau plugin yang harus digunakan) sehingga secara otomatis diaktifkan dan menyembunyikan keberadaannya dari panel admin.
"Karena satu-satunya cara untuk menghapus salah satu mu-plugin adalah dengan menghapus file secara manual, malware ini berusaha keras untuk mencegah hal ini," jelas Martin. "Malware melakukan hal ini dengan membatalkan registrasi fungsi callback untuk hook yang biasanya digunakan oleh plugin seperti ini."
Penipuan ini juga dilengkapi dengan opsi untuk membuat dan menyembunyikan akun pengguna administrator dari admin situs web yang sah untuk menghindari kecurigaan admin dan mempertahankan akses ke target untuk periode waktu yang lebih lama.
Tujuan utama operasi ini adalah menginject malware pencuri kartu kredit pada halaman checkout dan mengirimkan informasi tersebut ke domain yang dikendalikan oleh pelaku.
"Karena banyak infeksi WordPress terjadi melalui wp-admin yang disusupi, maka masuk akal bahwa mereka perlu akses admin, sehingga mereka dapat menginstal plugin yang dimana ini adalah kemampuan utama yang dimiliki admin WordPress," kata Martin.
Pengungkapan ini terjadi beberapa minggu setelah komunitas keamanan WordPress memperingatkan tentang operasi phishing yang memperingatkan pengguna tentang kerentanan keamanan yang tidak terkait dan menipu mereka untuk menginstal plugin berkedok patch. Nyatanya plugin tersebut, membuat mereka menjadi admin dan menanam shell backdoor.
Sucuri mengatakan bahwa pelaku ancaman di balik operasi ini memanfaatkan status "RESERVED" yang terkait dengan pengenal CVE, yang terjadi ketika telah direservasi untuk digunakan oleh CVE Numbering Authority (CNA) atau peneliti keamanan, tetapi rincian belum diketahui.
Ini juga terjadi ketika perusahaan keamanan situs web menemukan operasi Magecart lain yang menggunakan protokol komunikasi WebSocket untuk menyisipkan kode skimmer pada toko online. Malware ini kemudian dipicu saat mengklik tombol "Selesaikan Pemesanan" palsu yang ditimpa di atas tombol checkout yang sah.
Laporan Europol tentang penipuan online yang dirilis minggu ini menggambarkan penyadapan digital sebagai ancaman yang persisten yang mengakibatkan pencurian, penjualan kembali, dan penyalahgunaan data kartu kredit. "Evolusi utama dalam penyadapan digital adalah pergeseran dari penggunaan malware front-end ke malware back-end, membuatnya lebih sulit dideteksi," katanya.
Badan penegak hukum di Uni Eropa mengatakan juga telah memberi tahu 443 toko online bahwa data kartu kredit atau kartu pembayaran pelanggan mereka telah disusupi melalui serangan penyadapan.
Group-IB, yang juga bekerja sama dengan Europol dalam operasi perang melawan kejahatan siber yang diberi kode nama Digital Skimming Action, mengatakan pihaknya telah mendeteksi dan mengidentifikasi 23 keluarga JS-sniffer, termasuk ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter, dan R3nin, yang digunakan digunakan dalam serangan ke perusahaan di 17 negara berbeda di Eropa dan Amerika.
"Secara total, 132 keluarga JS-sniffer diketahui, pada akhir 2023, telah menyusupi situs web di seluruh dunia," kata Group-IB.
Itu belum semuanya. Iklan palsu di Google Search dan Twitter untuk platform cryptocurrency ditemukan mempromosikan crypto drainer bernama MS Drainer yang diperkirakan telah merampok $58,98 juta dari 63.210 korban sejak Maret 2023 melalui jaringan 10.072 situs web phishing.
"Dengan menargetkan audiens tertentu melalui keyword pencarian Google dan X, mereka dapat memilih target tertentu dan meluncurkan operasi phishing terus-menerus dengan biaya yang sangat rendah," kata ScamSniffer.
Posting Komentar untuk "Awas! Plugin WordPress Pencuri Kartu Kredit Berkedok Patch"