Новое вредоносное ПО для WordPress скрывается на страницах оформления заказа и имитирует Cloudflare

Исследователи кибербезопасности обнаружили высокотехнологичную вредоносную кампанию, нацеленную на веб-сайты WordPress , способную красть данные кредитных карт, логины пользователей и даже профилировать жертв.

Обнаруженная 16 мая 2025 года группой Wordfence Threat Intelligence Team, эта вредоносная программа упакована как обманчивый плагин WordPress и использует невиданные ранее методы противодействия обнаружению. Особенно инновационная тактика заключается в размещении системы управления в реальном времени непосредственно на зараженных веб-сайтах, что затрудняет ее обнаружение.

Эта сложная операция была активна по крайней мере с сентября 2023 года, говорится в официальном сообщении в блоге Wordfence. Исследователи проанализировали более 20 образцов вредоносного ПО, выявив общие черты во всех версиях, включая скремблирование кода, методы избегания анализа и способы обнаружения инструментов разработчика.

Например, вредоносная программа ловко избегает запуска на страницах администратора, чтобы оставаться скрытой, и активируется только на экранах оформления заказа. Более новые версии даже создают поддельные формы оплаты и имитируют проверки безопасности Cloudflare, чтобы обмануть пользователей. Украденная информация часто рассылается под видом веб-адресов изображений.

Помимо кражи платежной информации, исследователи обнаружили еще три версии этого вредоносного ПО, каждая из которых имела разные цели. Одна версия вмешивалась в Google Ads, чтобы показывать поддельные рекламные объявления мобильным пользователям. Другая была разработана для кражи данных для входа в WordPress .

Третья версия распространяет больше вредоносного ПО, изменяя легитимные ссылки на веб-сайтах на вредоносные. Несмотря на эти разнообразные функции, основная программная структура оставалась единой, адаптируя свои функции для каждой конкретной атаки. Некоторые версии даже использовали приложение для обмена сообщениями Telegram для отправки украденных данных в режиме реального времени и отслеживания действий пользователя.

«Один из проверенных образцов также включал в себя удивительно полную поддельную человеческую проверку, динамически внедряемую как полноэкранный и многоязычный экран, предназначенный как для обмана пользователя, так и для антибот-фильтра. Сюда входят невероятно продвинутые функции для вредоносных программ, такие как локализованный текст на нескольких языках, поддержка CSS для языков с письмом справа налево и темный режим, интерактивные элементы, такие как анимация и вращающиеся SVG, а также определенное подражание бренду Cloudflare, что демонстрирует сложность, редко встречавшуюся ранее».

Паоло Трессо – Wordfence

Ключевым открытием стал поддельный плагин WordPress под названием WordPress Core . Хотя он и казался безобидным, он содержал скрытый код JavaScript для скимминга и PHP-скрипты , которые позволяли злоумышленникам управлять украденными данными непосредственно со взломанного веб-сайта.

Этот мошеннический плагин также использовал определенные функции WooCommerce, популярной платформы электронной коммерции, чтобы отмечать мошеннические заказы как выполненные, помогая задержать обнаружение. Его скрытая система управления хранит украденные платежные данные непосредственно в WordPress, категоризируя их в пользовательском разделе «сообщения».

Чтобы защититься от этой угрозы, администраторам веб-сайтов следует искать признаки компрометации, включая определенные доменные имена, связанные с злоумышленниками, такие как api-service-188910982.website и graphiccloudcontent.com . Wordfence уже выпустил сигнатуры обнаружения для этого вредоносного ПО в период с 17 мая по 15 июня 2025 года для своих премиум-пользователей, а бесплатные пользователи получат их после стандартной 30-дневной задержки.