Rusya’daki bir siber suç forumunda bulunan kötü amaçlı bir eklenti ortaya çıkıyor WordPress siteleri Güvenilir ödeme hizmetlerini ikna edici bir şekilde taklit eden sahte çevrimiçi ödeme süreçleri oluşturarak kimlik avı sayfalarına saldırın. Stripe gibi meşru e-ticaret uygulamaları gibi görünen kötü amaçlı yazılım, müşteri ödeme verilerini çalmak.
SlashNext araştırmacıları, PhishWP olarak adlandırılan WordPress eklentisinin Rus siber suçlular tarafından özellikle aldatıcı olacak şekilde tasarlandığını ortaya çıkardı bulgularda bu hafta yayınlandı. İnsanların çevrimiçi işlemleri tamamlamak için aşina olacağı meşru ödeme sürecini taklit etmenin yanı sıra, kullanıcıların işlem sırasında tek kullanımlık şifreler (OTP’ler) oluşturmasına olanak tanıyarak işlemlerdeki ödeme işlemlerinin güvenli görünmesini sağlayan önemli bir özelliğe de sahiptir. söz konusu.
Ancak ödeme ağ geçidi, ödemeleri işlemek yerine, insanlar meşru bir ödeme ağ geçidi kullandıklarını düşünerek kişisel verilerini girdiklerinde kredi kartı numaralarını, son kullanma tarihlerini, CVV’leri, fatura adreslerini ve daha fazlasını çalar. Eklentinin kurbanları “gir” tuşuna basar basmaz veriler, siber suçlular tarafından kontrol edilen bir Telegram hesabına gönderiliyor. Tehdit aktörleri eklentiyi kullanabilir Herhangi bir WordPress eklentisi gibi, onu yasal ancak güvenliği ihlal edilmiş bir WordPress sitesine yükleyerek veya sahte bir site oluşturup orada kullanarak.
SlashNext güvenlik araştırmacısı Daniel Kelley, gönderisinde “PhishWP’nin özellikleri sahte ödeme sayfalarının gerçek görünmesini sağlıyor, güvenlik kodlarını çalıyor, bilgilerinizi saldırganlara hemen gönderiyor ve sizi her şeyin yolunda gittiğini düşündürecek şekilde kandırıyor” diye yazdı.
Bir sertifika yaşam döngüsü yönetimi (CLM) firması olan Sectigo’nun kıdemli üyesi Jason Soroko, verilerin bu şekilde anında geri döndürülmesinin “siber suçluları sahtekarlık amaçlı satın almalar yapmak veya çalınan verileri yeniden satmak için gerekli kimlik bilgileriyle – bazen ele geçirdikten birkaç dakika sonra” donattığını belirtiyor: eklentiyi kötü amaçlarla kullanmaları yatırımlarının hızlı bir şekilde geri dönüşünü sağlar.
Diğer Önemli PhishWP Kötü Amaçlı Yazılım Özellikleri
OTP ele geçirme, eklentinin temel özelliklerinden biridir ve bir araya getirildiğinde saldırganlara ödeme sayfalarının ele geçirilmesi için anahtar teslim bir çözüm sunar. Kelley, bunlara “son derece ikna edici” sahte arayüzler aracılığıyla ortak ödeme süreçlerini simüle eden, yukarıda bahsedilen özelleştirilebilir ödeme sayfalarının da dahil olduğunu yazdı.
PhishWP’nin diğer bir özelliği olan tarayıcı profili oluşturma, gelecekteki olası dolandırıcılıklarda kullanılmak üzere kullanıcı ortamlarının kopyalanması için ödeme bilgilerinin ötesindeki verileri yakalar. Buna IP adresleri, ekran çözünürlükleri ve kullanıcı aracıları dahildir.
Eklenti aynı zamanda kurbanlara sahte sipariş onayları göndermek için otomatik yanıt e-postaları kullanarak, şüpheyi ve dolayısıyla saldırının tespitini geciktirerek, kaçırılan ödeme sürecine daha fazla meşruiyet kazandırıyor. Daha önce de belirtildiği gibi PhishWP, çalınan verileri gerçek zamanlı olarak potansiyel istismar için saldırganlara anında iletmek üzere Telegram ile de entegre olur.
Eklenti aynı zamanda gizlilik amacıyla gizlenmiş bir versiyona da sahiptir veya kullanıcılar gelişmiş saldırgan özelleştirmeleri için kaynak kodunu kullanabilir. Son olarak PhishWP ayrıca saldırganların kurbanları küresel olarak hedefleyebilmesi için çoklu dil desteği de sunuyor.
E-Ticaret Kimlik Avına Karşı Tarayıcı Tabanlı Koruma
Oluşturma kötü amaçlı eklentiler WordPress siteleri için siber saldırganlar için bir endüstri haline geldi ve platformun popülaritesi nedeniyle onlara geniş bir saldırı yüzeyi sağladı. yaklaşık 472 milyon web sitesiWordPress temaları sağlayan Colorlib’e göre.
PhishWP’nin veya herhangi bir kötü amaçlı yazılımın nedenlerinden biri WordPress eklentisi — o kadar tehlikelidir ki, kötü amaçlı süreç doğrudan tarayıcının içine yerleştirilmiştir, bu da çevrimiçi etkileşimin meşru bir parçası olarak göründüğünde tespit edilmesini zorlaştırır.
Bu tür tehditlere karşı savunma yapmak için SlashNext, kimlik avı sitelerini son kullanıcıya ulaşmadan tespit etmek amacıyla doğrudan tarayıcının içinden de çalışan kimlik avı korumasının kullanılmasını önerir. Çeşitli tarayıcılarda bulunan bu çözümler, kullanıcılar kötü amaçlı URL’lerle etkileşime geçmeden önce tarayıcı belleğinde çalışarak kötü amaçlı URL’leri engeller. Şirket, bunun geleneksel güvenlik önlemlerinin gözden kaçırabileceği gerçek zamanlı tehdit algılama ve engelleme yetenekleri sağladığını söyledi.