Уявіть, що ви переходите на знайому сторінку оформлення покупки, вводите дані своєї кредитної картки, і вона вкрадена менш ніж за секунду. Це реальність у своїй найчистішій формі, завдяки PhishWP — плагіну для WordPress, який може перетворити легітимний вебсайт на фішинг-заманку менш ніж за хвилину. Зловмисники компрометують вебсайти і використовують PhishWP для створення фальшивих платіжних сторінок, що виглядають як Stripe, щоб викрасти інформацію з кредитних карток і одноразові паролі (OTP) у нічого не підозрюючих клієнтів.
Що таке PhishWP?
PhishWP — це складний шкідливий плагін для WordPress, який був знайдений на російських форумах кіберзлочинців. Це дозволяє зловмисникам компрометувати легітимний вебсайт або створити фальшивий сайт, а потім використовувати його як шахрайську платформу для фішингу. Показуючи фальшиві надійні платіжні шлюзи, він змушує користувачів розкривати чутливу інформацію, включаючи реквізити кредитних карток та одноразові паролі, які зловмисники потім можуть використати або продати.
Основні функції PhishWP
Користувацькі сторінки оформлення покупки: Імітація надійних брендів
PhishWP дозволяє зловмиснику створювати фальшиві платіжні сторінки, які можна налаштовувати відповідно до найпопулярніших платіжних систем, включаючи Stripe. Це безсумнівно зробить користувачів більш вразливими до атак.
Збір кодів 3DS: Обхід засобів безпеки
Плагін перехоплює одноразові паролі (OTP), коли вони вводяться під час сеансу оформлення покупки. Це дає зловмиснику перевагу для обходу всіх засобів автентифікації, що захищають від шахрайства.
Інтеграція з Telegram: Миттєвий витік даних
Викрадені дані миттєво надсилаються через Telegram — реквізити кредитних карток і відповідні OTP. Тому зловмисники можуть зберігати викрадені дані для подальшого використання в реальному часі.
Профілювання браузера: Ефективне націлення на жертви
PhishWP збирає деталі з браузера жертви, включаючи IP-адресу, роздільну здатність екрана та агенти користувача. Це дозволяє створювати детальні профілі жертв для подальших шахрайських дій.
Авто-відповідні електронні листи: Затримка виявлення
Плагін створює фальшивий інтернет-магазин, щоб жертви отримали електронний лист з підтвердженням замовлення в їхньому вхідному листі, затримуючи їхні дії.
Підтримка кількох мов: Глобальний охоплення кампанії
Атака на користувачів з різних регіонів і мовних середовищ означає, що жодна кампанія не може мати більш глобальне охоплення, ніж ця.
Опції маскування: Покращена прихованість
Цей плагін має можливості маскування, щоб приховати свій шкідливий код від прямого виявлення. Крім того, він надає зловмисникам вихідний код для додаткової кастомізації.
Як відбувається атака за допомогою PhishWP
- Інсталяція: Зловмисники компрометують легітимний сайт WordPress.
- Фальшивий платіжний шлюз: Використовуючи PhishWP, зловмисники створюють фальшиві платіжні сторінки, що нагадують відомі платіжні системи, такі як Stripe і PayPal на створеному сайті.
- Розповсюдження шкідливого програмного забезпечення: Користувачі перенаправляються на ці підроблені сторінки через фішингові листи або шкідливі посилання.
- Викрадення даних: Жертви вводять свої чутливі дані через соціальну інженерію.
- Приховування слідів: Зловмисники надсилають жертві фальшиві електронні листи з підтвердженням, щоб затримати підозри, поки вони не використають викрадену інформацію.
Живий демонстраційний запис атаки (записано зловмисником)
Отримано це відео з Дарквебу і завантажено мною.
Реальні приклади атак PhishWP
Фальшиві інтернет-магазини
Зловмисники створюють фальшиві інтернет-магазини, залучаючи клієнтів дорогими товарами, які продаються за зниженими цінами.
Вони використовують потужні можливості PhishWP для створення фальшивих платіжних сторінок, які є відтвореннями надійних платіжних сторінок, щоб обдурити жертв, змушуючи їх обмінювати цінну інформацію на товари.
Компрометовані легітимні вебсайти
Кіберзлочинці компрометують вже існуючі вебсайти, що працюють на WordPress, і потім встановлюють PhishWP для створення підроблених платіжних сторінок. Ті відвідувачі, які хочуть здійснити справжні транзакції, стають жертвами, не знаючи про це.
Висновок
PhishWP є сучасним шкідливим програмним забезпеченням, яке перетворює легітимні вебсайти на фішинг-заманки. Додаткові функції, такі як інтеграція з Telegram і маскування, дозволяють зловмисникам підробляти популярні платіжні шлюзи, що дозволяє проводити масштабні витоки даних.
Перекладено з: Stop PhishWP! The New WordPress Malware Stealing Credit Cards and OTPs