Le plugin PhishWP WordPress est bien équipé pour transformer les sites commerciaux légitimes en pages de phishing qui capturent les détails sensibles des paiements et du navigateur.
Dans le cadre d’une campagne intelligente, les cybercriminels russes transforment des boutiques en ligne fiables en pages de phishing qui capturent des informations sensibles via des interfaces de paiement convaincantes.
Selon une étude de la société de cybersécurité Slashnext, les mécréants russes ont construit un plugin WordPress, PhishWP, qui crée de fausses pages de paiement ressemblant à des services de confiance, comme Stripe.
« WordPress est l’une des plateformes de publication d’applications Web les plus populaires, facile à personnaliser via des plugins », a déclaré Mayuresh Dani, responsable de la recherche sur la sécurité chez Qualys Threat Research Unit. « Les consommateurs et les administrateurs connaissent bien l’interface WordPress, ce qui rend les plugins tels que PhishWP plus risqués. »
Selon SlashNext, les informations à risque incluent le numéro de carte de crédit, la date d’expiration, le CVV, l’adresse de facturation et les métadonnées du navigateur.
Télégramme pour une exfiltration plus rapide
PhishWP s’intègre à Telegram, transmettant instantanément les données volées aux attaquants dès qu’une victime appuie sur « Entrée », a noté SlashNext dans un article de blog, accélérant et améliorant l’efficacité des attaques de phishing.
« Dès qu’un utilisateur saisit ses informations de paiement, le plugin transmet ces informations directement à l’attaquant, via des plateformes de messagerie instantanée comme Telegram », a déclaré Jason Soroko, chercheur principal chez Sectigo. « Cette transmission immédiate d’informations donne aux cybercriminels les informations d’identification nécessaires pour effectuer des achats frauduleux ou revendre les données volées, parfois quelques minutes après leur capture. »
Les attaquants peuvent soit pirater des sites Web WordPress légitimes, soit en créer de faux pour installer le plugin. Une fois configuré pour ressembler à une passerelle de paiement, il incite les utilisateurs à saisir leurs informations de paiement.
Le plugin aurait été distribué sur un forum russe sur la cybercriminalité.
Vol OTP avancé
La recherche a également révélé un potentiel supplémentaire d’utilisation du plugin pour des vols plus avancés conduisant à de fausses transactions.
Selon les conclusions de SlashNext, PhishWP utilise des tactiques avancées, telles que le vol de l’OTP envoyé lors d’une vérification 3D Secure (3DS). En capturant ce code, les attaquants peuvent usurper l’identité des utilisateurs, donnant ainsi l’impression que leurs transactions frauduleuses sont légitimes.
« Avec l’OTP en main, les cybercriminels contournent l’une des protections les plus critiques dans les transactions numériques, donnant ainsi à leurs activités frauduleuses une apparence alarmante de légitimité aux yeux des banques et des acheteurs involontaires », a déclaré Soroko. « De nombreuses personnes ont été formées à croire que les codes d’accès à usage unique (OTP) contribuent à renforcer la sécurité d’un système, mais dans ce cas, ils ne font que remettre les clés à leur adversaire. »
Les autres fonctionnalités clés offertes avec le plugin incluent des pages de paiement personnalisables, des e-mails de réponse automatique, une prise en charge multilingue et des options d’obscurcissement.