Expertos descubrieron un complemento malicioso de WordPress que puede generar usuarios administradores falsos e inyectar código JavaScript para sustraer detalles de tarjetas de crédito. Este ataque de skimming forma parte de una campaña de Magecart dirigida a sitios web de comercio electrónico.

Como sucede con otros plugins maliciosos de WordPress, este contiene información engañosa al principio para aparentar ser legítimo. En este caso, los comentarios del código hacen referencia a ‘WordPress Cache Addons'». Estos plugins suelen llegar a los sitios de WordPress mediante una cuenta de administrador comprometida o explotando vulnerabilidades en otros plugins ya instalados en el sitio.

Una vez instalado, el plugin se replica en el directorio mu-plugins para habilitarse automáticamente y ocultar su existencia en el panel de administración. La única forma de eliminar estos complementos mu es mediante la eliminación manual del archivo, y el malware se esfuerza por evitar esto anulando el registro de las funciones de devolución de llamada.

El plugin fraudulento también ofrece una función para crear y ocultar una cuenta de usuario administrador, evitando alertar al administrador legítimo del sitio web y garantizando un acceso prolongado al objetivo.

El objetivo final de la campaña es insertar malware de robo de datos de tarjetas de crédito en las páginas de pago y transferir la información a un dominio controlado por los atacantes.

Esta revelación llega después de que la comunidad de seguridad de WordPress alertara sobre una campaña de phishing que engaña a los usuarios para instalar un complemento malicioso bajo la apariencia de un parche de seguridad. El complemento, a su vez, establece un usuario administrador y despliega un shell web para acceso remoto persistente.

También se ha encontrado otra campaña de Magecart, detectada por la firma de seguridad de sitios web, que emplea el protocolo de comunicaciones WebSocket para insertar códigos de robo en tiendas en línea. El malware se activa al hacer clic en un falso botón «Completar pedido», que aparece encima del botón de pago genuino.

Fuente:

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft