Новое сложное вредоносное ПО нацелено на кражу данных и скимминг кредитных карт через WordPress-сайты
Команда Wordfence Threat Intelligence провела детальный анализ семейства сложных вредоносных программ, обнаруженных во время очистки сайта 16 мая 2025 года. Это вредоносное ПО отличается высокой степенью модульности и специализируется на краже учетных данных и скимминге кредитных карт, используя для маскировки поддельный плагин WordPress. Анализ показал, что вредоносная кампания ведётся с сентября 2023 года и нацелена на множество организаций.
Особенности и эволюция вредоносного ПО
Исследование выявило более 20 вариантов данной вредоносной программы, каждый из которых использует сложные методы обфускации и антианализа для обхода систем обнаружения. Среди ключевых техник злоумышленников:
- обнаружение инструментов разработчика;
- повторная привязка консоли (console re-binding) и ограничение её функционала;
- отключение основных сочетаний клавиш браузера;
- изменение поведения консоли для сокрытия действия вредоносного кода.
Такие методы значительно усложняют работу администраторам сайтов и исследователям безопасности, позволяя вредоносному ПО оставаться незамеченным длительное время.
Механизмы кражи данных и скимминга
Основные стратегии вредоносного ПО направлены на манипулирование веб-формами, в частности формами оформления заказов, а также на утечку данных о платежах и учетных записях. Для сохранения своего присутствия в браузере вредонос использует localStorage, что обеспечивает устойчивость к обновлениям и перезагрузкам страниц.
- Экфильтрация данных происходит с помощью пользовательских методов кодирования, включая Base64 и уникальные алгоритмы, маскирующие конфиденциальную информацию.
- Утечка данных в режиме реального времени организована через секретные каналы, такие как Telegram, позволяя злоумышленникам получать свежую информацию о жертвах практически мгновенно.
Целевые версии и функциональные различия
В различных вариантах вредоносного ПО наблюдаются специализированные функции, адаптированные под конкретные задачи:
- перехват рекламы Google и профилирование пользователей для улучшения таргетинга;
- кража учетных данных WordPress;
- содействие распространению других вредоносных программ.
Поддельный плагин WordPress, использовавшийся для распространения вредоноса, был тщательно замаскирован и содержал сложный запутанный код. Несмотря на видимую легитимность, он выполнял сбор данных из форм оформления заказов и вмешивался в процессы оплаты, что расширяло возможности злоумышленников по скиммингу кредитных карт непосредственно на взломанных сайтах.
Заключение
Анализ выявленного вредоносного ПО демонстрирует высокую гибкость и постоянное развитие угроз в сфере веб-безопасности. Использование сложных техник обхода защиты, а также интеграция в инфраструктуру инфраструктуру WordPress-сайтов, обеспечивает злоумышленникам эффективный канал для кражи конфиденциальных данных и финансовой информации.
Для предотвращения подобных атак критически важны регулярные проверки и аудит безопасности, своевременное обновление плагинов и тщательная проверка сторонних компонентов на сайтах WordPress.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ сложного вредоносного ПО для кражи данных и скимминга".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.