Nowe złośliwe oprogramowanie WordPress ukrywa się na stronach płatności i imituje Cloudflare

Badacze zajmujący się bezpieczeństwem cybernetycznym odkryli bardzo zaawansowaną kampanię złośliwego oprogramowania, której celem były witryny WordPress . Kampania ta umożliwia kradzież danych kart kredytowych, danych logowania użytkowników, a nawet tworzenie profili ofiar.

Odkryte 16 maja 2025 r. przez Wordfence Threat Intelligence Team, to złośliwe oprogramowanie jest pakowane jako oszukańcza wtyczka WordPress i wykorzystuje nigdy wcześniej niewidziane metody antywykrywania. Szczególnie innowacyjna taktyka polega na hostowaniu systemu zarządzania na żywo bezpośrednio na zainfekowanych stronach internetowych, co utrudnia jego wykrycie.

Ta wyrafinowana operacja jest aktywna od co najmniej września 2023 r., ujawnia oficjalny wpis na blogu Wordfence. Badacze przeanalizowali ponad 20 próbek złośliwego oprogramowania, ujawniając wspólne cechy we wszystkich wersjach, w tym kodowanie, techniki unikania analizy i sposoby wykrywania narzędzi programistycznych.

Na przykład złośliwe oprogramowanie sprytnie unika uruchamiania na stronach administratora, aby pozostać ukrytym i aktywuje się tylko na ekranach płatności. Nowsze wersje tworzą nawet fałszywe formularze płatności i imitują kontrole bezpieczeństwa Cloudflare, aby oszukać użytkowników. Skradzione informacje są często wysyłane pod maską adresów stron internetowych z obrazkami.

Oprócz kradzieży informacji o płatnościach, badacze znaleźli trzy inne wersje tego złośliwego oprogramowania, każda z innym celem. Jedna wersja manipulowała Google Ads, aby wyświetlać fałszywe reklamy użytkownikom urządzeń mobilnych. Inna została zaprojektowana w celu kradzieży danych logowania WordPress .

Trzecia wersja rozprzestrzenia więcej złośliwego oprogramowania, zmieniając legalne linki na stronach internetowych na złośliwe. Pomimo tych zróżnicowanych funkcji, rdzeń oprogramowania pozostał spójny, dostosowując swoje funkcje do każdego konkretnego ataku. Niektóre wersje używały nawet aplikacji do przesyłania wiadomości Telegram do wysyłania skradzionych danych w czasie rzeczywistym i śledzenia działań użytkowników.

„Jedna z badanych próbek zawierała również zaskakująco kompletne fałszywe wyzwanie weryfikacji ludzkiej, dynamicznie wstrzykiwane jako ekran pełnoekranowy i wielojęzyczny, mające służyć zarówno jako urządzenie do oszukiwania użytkownika, jak i filtr antybotowy. Obejmuje to niezwykle zaawansowane funkcje dla złośliwego oprogramowania, takie jak tekst zlokalizowany w wielu językach, obsługę CSS dla języków RTL i tryb ciemny, elementy interaktywne, takie jak animacje i obracające się pliki SVG, a także zdecydowane podszywanie się pod markę Cloudflare, ujawniając złożoność rzadko spotykaną wcześniej”.

Paolo Tresso – Wordfence

Kluczowym odkryciem była fałszywa wtyczka WordPress o nazwie WordPress Core . Choć wyglądała niegroźnie, zawierała ukryty kod JavaScript do skimmingu i skrypty PHP , które umożliwiały atakującym zarządzanie skradzionymi danymi bezpośrednio z zainfekowanej witryny.

Ta nieuczciwa wtyczka również używała określonych funkcji WooCommerce, popularnej platformy e-commerce, aby oznaczać oszukańcze zamówienia jako kompletne, co pomagało opóźnić wykrywanie. Jej ukryty system zarządzania przechowuje skradzione dane płatnicze bezpośrednio w WordPressie, skategoryzowane w niestandardowej sekcji „wiadomości”.

Aby chronić się przed tym zagrożeniem, administratorzy witryn powinni szukać oznak naruszenia, w tym konkretnych nazw domen powiązanych z atakującymi, takich jak api-service-188910982.website i graphiccloudcontent.com . Wordfence udostępnił już sygnatury wykrywania tego złośliwego oprogramowania między 17 maja a 15 czerwca 2025 r. swoim użytkownikom premium, a użytkownicy bezpłatni otrzymają je po standardowym 30-dniowym opóźnieniu.