Sucuriは12月21日(米国時間)、「MageCart WordPress Plugin Injects Malicious User & Credit Card Skimmer」において、WordPress/WooCommerceを使用した通販サイトに偽の管理者を作成して隠蔽する興味深い悪意あるプラグインを発見したと報じた。通販サイトの支払いページからクレジットカード情報を窃取する高度な機能があることも確認されている。

  • MageCart WordPress Plugin Injects Malicious User & Credit Card Skimmer

    MageCart WordPress Plugin Injects Malicious User & Credit Card Skimmer

悪意あるWordPressのプラグインの概要

Sucuriによると、このプラグインはWordPressサイトの「wp-content/mu-plugins/wp_services_.php」ファイルとして確認できるという。管理者アカウントが侵害された結果導入されたとみられており、通常のプラグインとしてインストールされた後にmu-pluginsディレクトリ(必須プラグインディレクトリ)に配置された可能性があるとのこと。

  • 発見された悪意のあるプラグインのコードサンプル - 提供:Sucuri

    発見された悪意のあるプラグインのコードサンプル  引用:Sucuri

Sucuriは今年だけでmu-pluginsディレクトリから87,000を超えるマルウェアを削除したとしており、このディレクトリは脅威アクターに人気と見られる。その背景には、ホスティングプロバイダーが運営する通販サイトの場合、このディレクトリに存在するプラグインをすべての通販サイトに強制的にインストールさせることができることがある。

この悪意のあるプラグインにはクレジットカード情報を窃取する機能がある。元のページの画像を取り込むなどの高度な機能を搭載しており、視覚的に気づかれないように作られているという。また、カード情報の送信は一般的に使用されているものと同じ手法が採用されており、攻撃者が管理するサーバにファイルを送信する手法が取られている。Sucuriは悪用が確認された送信先サーバのドメインとして「fbplx[.]com」、「lin-cdn[.]com」を挙げている。

悪意あるWordPressのプラグインの削除方法

今回発見されたプラグインにはmu-pluginsに配置されたプラグインの一覧を隠蔽する機能があり、侵害されると通常の手順ではこの悪意あるプラグインに気づくことはできない。また、このプラグインを削除するにはFTP/SFTPからアクセスして手動でファイル自体を削除する必要があるとされる。

一般的にはWordPressのファイルマネージャプラグイン(「Advanced File Manager」など)から不要なファイルを削除することができる。しかしながら、この悪意あるプラグインは一部のコールバック関数の登録を解除することでファイルマネージャの動作を妨害することができる。このため、ブラウザの管理画面から対処することは困難であり、FTP/SFTPなどから手動で削除する必要がある。

Sucuriはこのような悪意あるプラグインの侵入を防ぐために、WordPressのWebサイト管理者に対して最小権限の原則を実践することを推奨している。多くのWordPressを狙う攻撃は、侵害された管理者アカウントから発生する。WordPressのWebサイト管理者にはWebサイトと顧客を保護するため、WordPressセキュリティのベストプラクティスを実践することが望まれている。