网络钓鱼插件 PhishWP 威胁在线购物者

关键要点

最近，社交技术公司报道，专为在线购物者设计的网络钓鱼 WordPress 插件 PhishWP 已在俄国网络犯罪论坛上浮出水面。

该插件会在受害者被诱骗进入恶意或被攻陷的购物页面时，窃取信用卡信息、浏览器数据等信息，仿冒如 Stripe 等熟悉且信任的支付服务展示的支付页面。

攻击者可能会在他们自己控制的 WordPress 网站上，或在合法但已被攻陷的 WordPress 网站上安装这个插件。通过与 Telegram的集成功能，他们可实时在 Telegram 聊天中接收被盗取的数据。

除了窃取信用卡信息外，该插件还利用弹出窗口获取用于 3D Secure（3DS）身份验证的一次性密码。3DS是一种类似于双因素认证的方法，其中一次性密码会发送到用户的手机或邮箱，以验证持卡人的身份。

通过盗取 3DS 代码和收集浏览器信息（如 IP 地址和屏幕分辨率），PhishWP 增强了攻击者冒充受害者进行欺诈购买的能力。

虽然 3DS 验证的一次性密码通常每几分钟就会更改，但该插件利用 Telegram 即时消息集成功能，可能帮助攻击者快速利用这些代码。

Jason Soroko，Sectigo 的高级研究员，在给 SC媒体的邮件中评论称：“这种信息的即时转发使网络犯罪分子具备了进行欺诈性购物或转售被盗数据所需的凭证——有时在捕获信息后仅几分钟内。”

SlashNext 的博客文章详细描述了 PhishWP，并展示了一张该网络钓鱼服务工具在俄国网络犯罪论坛上的广告截屏，此论坛在 2024 年 11月未被公开提及。根据 SlashNext，卖方还提供更加隐蔽的插件混淆版本或其源代码的访问，以便进行更高级的定制。

该插件的其他功能包括支持多种语言以及自动向受害者发送订单确认邮件，以降低对被攻陷支付过程的怀疑。

WordPress网站经常成为攻击的目标，攻击者最常用的入口是或。被攻陷的购物网站可以用来拦截交易并推广假冒产品清单，就如
HUMAN 的 Satori 威胁情报与研究团队在 2024 年 10 月揭露的所示。

即使不攻陷其他网站，攻击者仍可通过创建自己的 WordPress网站，发布假冒产品清单并通过垃圾邮件、或等方式进行推广，使用 PhishWP 进行网络钓鱼，SlashNext指出。推广需求高、难以寻觅和/或极为低价的产品是在线购物诈骗常用的欺骗手段，以诱骗受害者提交支付信息。