WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
![](https://iototsecnews.jp/wp-content/uploads/2024/05/wordpress-3.png?w=1024)
このような攻撃は、WordPress プラグインの既知の脆弱性や、容易に推測可能な認証情報を活用して管理者アクセス権を取得し、正規/非正規を問わずに他のプラグインをインストールし、その後に不正なアクションを実行するものと認識されている。
Sucuri によると、Dessky Snippets の悪用の目的は、侵害したサイトにサーバ・サイドの PHP クレジットカード・スキミング・マルウェアを挿入し、金融データを盗むことにあるという。
![](https://iototsecnews.jp/wp-content/uploads/2024/05/fig-5.png?w=1024)
セキュリティ研究者の Ben Martin は、「この悪意のコードは、WordPress の “wp_options” テーブルの “dnsp_settings” オプションに保存され、請求フォームを操作して独自のコードを注入することで、WooCommerce のチェックアウト・プロセスを変更するよう設計されていた」と詳述している。
具体的にいうと、この悪意のコードが請求フォームに追加するのは、名前/住所/クレジットカード番号/有効期限/CVV (Card Verification Value) 番号などの、クレジットカードの詳細情報を求める新たなフィールドである。そこで不正に得られた情報が、”hxxps://2of[.]cc/wp-content/” へと流出するよう設計されていた。
このキャンペーンの特筆すべき点は、偽のオーバーレイに関連する請求フォームのオート・コンプリート属性が、無効 (autocomplete=”off”) になっていることだ。
Martin は、「偽のチェックアウト・フォームで、この機能を手動で無効にすることにより、機密情報が入力されていることをブラウザがユーザーに警告する確率を減らし、ユーザーが手動で入力するまで、フィールドが空白の状態を確実に維持する」と述べている。
脅威アクターが、悪意の目的のために正規の Code Snippet プラグインを利用したのは、今回が初めてのことではない。2024年4月に Sucuri が明らかにしたのは 、サイト訪問者を VexTrio ドメインにリダイレクトするために、WordPress サイトに悪意の JavaScript コードを注入する、WPCode Code Snippet プラグインの悪用である。
また、Simple Custom CSS and JSplugin 経由で悪意の JavaScript を注入し、ユーザーを詐欺サイトにリダイレクトさせる、Sign1 という別のマルウェア・キャンペーンも検知されている。このキャンペーンは、過去6ヶ月の間に、39,000 以上の WordPress サイトを感染させていたことが判明している。
WordPress サイト所有者に対して、特に e コマース機能を提供しているサイト所有者に対して推奨されるのは、サイトやプラグインを最新の状態に保ち、ブルートフォース攻撃を防ぐための強力なパスワードを使用し、マルウェアの兆候や不正な変更について定期的にサイトを監査することだ。
Code Snippet プラグインというものが、どのようなシチュエーションで利用されるのか、そのあたりが分かりませんが、ちょっと LOLBin (Living off the Land Binary) の匂いもする攻撃手法であり、なかなか厄介な相手なのかもしれません。それほど多く使われて居ないようですが、ご利用のチームにとっては、とても重要な問題なので、ご注意ください。よろしければ、WordPress で検索も、ご利用ください。
You must be logged in to post a comment.