Wordfence 威胁情报团队公布了一个以流氓 WordPress 插件为幌子的强大恶意软件框架。该活动是在 2025 年 5 月 16 日的一次网站清理中首次发现的,它揭示了一个多功能的恶意软件系列,能够进行信用卡盗刷、WordPress 凭据窃取、广告欺诈和远程命令执行,同时还能完美地融入合法网站的运营。
“报告解释说:”最令人惊讶的是,其中一个变种将直接托管在受感染网站上供攻击者使用的实时后台系统(这是以前从未见过的方法)打包伪装成一个流氓 WordPress 插件。
虽然该恶意软件是在 2025 年 5 月曝光的,但有证据表明,该活动早在 2023 年 9 月就开始了,这表明这是一个长期且不断演变的行动。
这个假插件很有说服力:它遵循了 WordPress 开发的最佳实践,将管理文件夹和面向公众的文件夹分开,甚至还模仿了插件的模板结构。然而,正如分析师们所指出的,“大多数文件都只是空洞的脚手架”。
“很明显,这个假插件与 WordPress 或 WooCommerce 没有任何关联……这是攻击者用来欺骗受害者的一种相当常见的手段”。
这次行动的核心是在欺诈插件(wordpress-core-public.js)中嵌入了一个 JavaScript 窃取器,它只在结账页面上激活。为了逃避检测,该恶意软件:
- 避免在 WordPress 管理面板中执行。
- 禁用右键单击、F12、Ctrl+Shift+I 和 Ctrl+U。
- 使用窗口大小检查检测浏览器开发人员工具。
- 插入无限循环或调试器陷阱以使开发工具崩溃。
- 重新绑定浏览器控制台方法以挫败逆向工程。
“分析的所有恶意软件样本都采用了相同的混淆技术……包括开发人员工具检测和控制台重新绑定,“报告披露。
该恶意软件采用多种技术来捕获敏感数据:
- 劫持 WooCommerce 表单的覆盖攻击。
- Base64 注入的虚假表单,模仿合法支付界面。
- 显示红色或绿色以提供虚假合法性的伪验证脚本。
捕获的数据(包括姓名、卡号、CVV 代码、地址和电子邮件)使用一种狡猾的方法进行编码和泄露:作为附加到虚假图像 (image-view.php) 的查询字符串,触发 GET 请求。
“被盗数据被编码并作为查询参数附加到虚假图像 URL 中……触发 HTTP GET 请求以泄露数据。”
威胁并不止于表单劫持。Wordfence 团队发现了该恶意软件的至少三个主要变体:
- 信用卡撇渣器 – 窃取支付数据并悄无声息地泄露。
- 恶意广告注入器 – 仅在从搜索引擎或社交媒体重定向的移动用户上显示欺诈性广告。
- 凭据收集器 – 以 WordPress 登录页面为目标,并通过 Telegram 将被盗的凭据发送到攻击者控制的服务器。
一些变体甚至动态替换文件下载链接,分发武器化的 ZIP 文件而不是合法内容。
该恶意软件不仅在前端运行。流氓插件中的 PHP 文件会创建一个服务器端基础结构,使攻击者能够持续访问:
- register-messages-posttype.php 为被盗订单数据定义自定义 POST 类型。
- wordpress-core.php 使用 WooCommerce 钩子悄无声息地完成欺诈性订单,从而延迟商家检测。
“这个流氓 WordPress 插件代表了信用卡撇油器的重大升级……有效地将受感染的网站转换为可供攻击者使用的自定义界面。”
以下是已识别的一些恶意域和基础设施:
advertising-cdn.comchaolingtech.comcontentsdeliverystat.comgraphiccloudcontent.comimageresizefix.comvectorimagefabric.com- 电报机器人:
api.telegram.org/bot7468776395[…]chat_id=-4672047987
Wordfence 指出,这些示例中使用的混淆技术在商业插件中也很流行,这使得检测特别具有挑战性。
发表评论
您还未登录,请先登录。
登录