Эксперт рассказал о фишинговой атаке: WordPress крадёт карты и OTP через Telegram

В последние месяцы специалисты по кибербезопасности выявили новую, чрезвычайно изощрённую фишинговую кампанию, направленную на владельцев веб-сайтов, функционирующих на платформе WordPress. Данная атака демонстрирует высокий уровень технической подготовки злоумышленников и их стремление к максимальной мимикрии под легитимные процессы.

Кампания характеризуется использованием электронных писем, содержащих ложную информацию о скором истечении срока регистрации доменного имени. Эти письма, рассылаемые с тревожными темами, такими как «Renewal due soon – Action required», вызывают у жертв чувство срочности и побуждают их к немедленным действиям, что является классической манипулятивной тактикой фишинга. Однако важным аспектом данной атаки является отсутствие конкретного доменного имени, которое якобы необходимо продлить. Это отклонение от стандартной практики официальных уведомлений о продлении должно вызывать у потенциальных жертв обоснованные подозрения.

При переходе по ссылке в письме, пользователь перенаправляется на поддельную страницу оплаты, расположенную на домене soyfix.com. Эта страница, визуально идентичная официальной странице оплаты WordPress, включает в себя элементы, такие как значки платёжных систем, надписи «Secure order validation» и правдоподобные суммы, например, $13,00 плюс НДС. Эти визуальные и текстуальные уловки создают иллюзию безопасности и способствуют снижению бдительности жертв.

На самом деле, заказ на странице является фиктивным. Она собирает критически важные данные владельца банковской карты, включая имя, номер карты, срок действия и CVV-код, которые затем передаются злоумышленникам. Атака продолжается с использованием поддельного окна 3D Secure Verification, где пользователю предлагается ввести код, полученный через SMS.

Для усиления иллюзии реальности, скрипт имитирует работу банковского сервера. Загрузка страницы длится около семи секунд, после чего следует короткий период «проверки». Затем появляется сообщение об ошибке, что побуждает жертву вводить новые одноразовые пароли (OTP) неоднократно. Этот метод, известный как «brute-force OTP harvesting», позволяет злоумышленникам получить несколько актуальных кодов подтверждения.

Инфраструктура кампании отличается использованием Telegram вместо традиционных серверов управления. Скрипты на сайте (send_payment.php и send_sms.php) передают украденные данные непосредственно в Telegram-бот или канал. Этот подход является более экономичным, простым в реализации и менее подверженным блокировке по сравнению с традиционными C2-серверами, что свидетельствует о высоком уровне адаптивности злоумышленников.

Письма рассылались с адреса admin@theyounginevitables.com, который был замаскирован под официальную поддержку WordPress. Анализ заголовков показал наличие слабой политики DMARC (p=NONE), что позволило злоумышленникам изменять параметры отправителя без ограничений.

Для минимизации рисков владельцы веб-сайтов на WordPress должны сохранять спокойствие и избегать перехода по ссылкам из подозрительных писем. Рекомендуется вручную проверять уведомления через официальный дашборд WordPress.com. Кроме того, отсутствие указания конкретного доменного имени в уведомлениях о продлении должно служить сигналом о возможной фишинговой атаке.

Таким образом, данная кампания демонстрирует необходимость постоянного повышения уровня кибергигиены среди пользователей и владельцев веб-ресурсов, а также активного мониторинга и анализа угроз со стороны специалистов по информационной безопасности.