Một chiến dịch mã độc tinh vi đang tích cực nhắm mục tiêu vào các trang web thương mại điện tử WordPress sử dụng plugin WooCommerce. Theo phát hiện gần đây từ Wordfence Threat Intelligence Team, chiến dịch này sử dụng các kỹ thuật né tránh nâng cao và chiến lược tấn công đa lớp để ngụy trang thành một plugin WordPress hợp pháp, bí mật thực hiện hành vi đánh cắp dữ liệu thẻ tín dụng từ người mua sắm trực tuyến.

Tổng quan về Chiến dịch mã độc Skimming

Phần mềm độc hại này tự hiển thị dưới dạng một plugin WordPress với các tên được tạo ngẫu nhiên, làm cho việc phát hiện trở nên thách thức hơn đáng kể đối với quản trị viên trang web. Các ví dụ về tên plugin bao gồm “license-user-kit,” “jwt-log-pro,” “cron-environment-advanced,” và “access-access-pro.”

Mỗi cài đặt độc hại có các tên hàm được ngẫu nhiên hóa và các chuỗi văn bản được làm rối mã (obfuscated) duy nhất. Điều này giúp mã độc bỏ qua các phương pháp quét bảo mật truyền thống.

Các phương thức tấn công mạng tinh vi trong chiến dịch này bao gồm nhiều lớp che giấu và duy trì quyền truy cập để đảm bảo hoạt động kéo dài và khó bị phát hiện.

Phát hiện ban đầu và Chữ ký nhận diện

Mối đe dọa này lần đầu tiên được xác định vào ngày 21 tháng 8 năm 2025, khi một người dùng Wordfence gửi một mẫu mã độc toàn diện. Sự kiện này đã dẫn đến việc phát triển bốn chữ ký phát hiện, được phát hành từ ngày 27 tháng 8 đến ngày 9 tháng 9 năm 2025.

Thông tin chi tiết về phát hiện này có thể tham khảo từ bài viết của Wordfence: Rogue WordPress Plugin Conceals Multi-Tiered Credit Card Skimmers in Fake PNG Files.

Kỹ thuật Che giấu và Duy trì Truy cập

Sau khi được kích hoạt trên một trang web bị xâm nhập, mã độc ngay lập tức tự ẩn khỏi danh sách plugin của WordPress. Mục đích là để tránh bị quản trị viên trang web phát hiện.

Theo dõi người dùng có quyền chỉnh sửa

Nó theo dõi một cách có hệ thống những người dùng có đặc quyền chỉnh sửa bằng cách ghi lại địa chỉ IP và thời gian đăng nhập của họ. Thông tin này được lưu trữ trong các tùy chọn cơ sở dữ liệu tùy chỉnh, đồng thời thiết lập các cookie theo dõi bền bỉ.

Hệ thống giám sát tinh vi này cho phép mã độc tránh hiển thị mã độc hại của nó cho những người dùng có đặc quyền. Điều này làm giảm đáng kể khả năng phát hiện sớm trong quá trình bảo trì trang web hoặc kiểm tra bảo mật định kỳ. Đây là một phương thức tinh vi để kéo dài thời gian đánh cắp dữ liệu.

Cổng hậu (Backdoor) và Duy trì quyền kiểm soát

Kiến trúc của mã độc bao gồm một số lớp chức năng độc hại. Những chức năng này được thiết kế để đảm bảo tính dai dẳng và tối đa hóa việc đánh cắp dữ liệu. Nó thiết lập nhiều điểm cuối backdoor dựa trên AJAX.

Các điểm cuối này cho phép kẻ tấn công cập nhật từ xa payload skimming thẻ tín dụng hoặc thực thi mã PHP tùy ý trên máy chủ bị xâm nhập. Các backdoor này sử dụng xác thực dựa trên cookie, bỏ qua hoàn toàn các cơ chế bảo mật gốc của WordPress, cấp cho kẻ tấn công quyền truy cập không hạn chế để sửa đổi hành vi của mã độc trong thời gian thực.

Thu thập Thông tin Đăng nhập

Một tính năng đáng lo ngại khác là khả năng thu thập thông tin đăng nhập của mã độc. Hệ thống này thu thập tên người dùng và mật khẩu khi người dùng nhập vào, tạm thời lưu trữ thông tin trong cookie trước khi trích xuất dữ liệu qua các máy chủ command-and-control (C2) bên ngoài.

Quá trình hai bước này bao gồm dữ liệu người dùng và trang web cơ bản trong mỗi lần truyền. Nó cung cấp cho kẻ tấn công mạng thông tin toàn diện về các trang web bị xâm nhập và quản trị viên của chúng, tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu tiếp theo.

Cơ chế Đánh cắp Thông tin Thẻ Tín dụng

Kỹ thuật Giấu Payload JavaScript

Mã độc lưu trữ các payload JavaScript của nó trong các tệp hình ảnh PNG giả mạo. Điều này nhằm mục đích né tránh phát hiện của các trình quét bảo mật. Các tệp này chứa mã JavaScript được mã hóa base64 tùy chỉnh và đảo ngược, đi kèm với các tiêu đề PNG giả. Kỹ thuật này khiến chúng xuất hiện như các tài sản hình ảnh hợp pháp khi kiểm tra thông thường.

Hệ thống sử dụng ba loại payload riêng biệt:

• Một payload tùy chỉnh được triển khai thông qua backdoor.
• Một payload được cập nhật động, làm mới hàng ngày từ các máy chủ command-and-control.
• Một payload dự phòng tĩnh, đảm bảo skimmer vẫn hoạt động ngay cả khi các bản cập nhật từ xa thất bại.

Sự đa dạng trong payload này cho thấy sự chuẩn bị kỹ lưỡng của kẻ tấn công.

Quy trình Skimming và Exfiltration

Khi khách truy cập truy cập các trang thanh toán WooCommerce trên các trang web bị nhiễm, mã độc sẽ tự động chèn mã JavaScript skimming của nó vào trang. Khi người dùng gửi biểu mẫu thanh toán, dữ liệu bị thu giữ sẽ được gửi trở lại cùng trang WordPress thông qua yêu cầu AJAX POST.

Skimmer tích hợp độ trễ ba giây trước khi kích hoạt để ngăn xung đột với các biểu mẫu thanh toán dựa trên AJAX. Nó cũng bao gồm một hệ thống xác thực thẻ tín dụng giả, được thiết kế để tăng niềm tin của người dùng khi nhập thông tin thanh toán.

Các trình lắng nghe sự kiện JavaScript giám sát các biểu mẫu thanh toán trong thời gian thực. Chúng chặn các số thẻ tín dụng, ngày hết hạn và mã CVV khi khách hàng hoàn tất giao dịch mua hàng. Việc đánh cắp dữ liệu nhạy cảm này diễn ra ngay lập tức.

Dữ liệu thanh toán bị đánh cắp được trích xuất thông qua nhiều phương pháp dự phòng để đảm bảo việc truyền thành công, bất kể cấu hình máy chủ. Mã độc này đầu tiên cố gắng gửi dữ liệu bằng các yêu cầu cURL tiêu chuẩn, sau đó chuyển sang chức năng file_get_contents của PHP nếu cần thiết.

Nếu cả hai phương pháp đều thất bại, nó sẽ cố gắng thực thi cURL ở cấp hệ thống. Là một bản sao lưu cuối cùng, nó gửi thông tin bị đánh cắp qua email thuần túy. Cách tiếp cận đa lớp này thể hiện sự hiểu biết tinh vi của các tác nhân đe dọa về nhiều môi trường lưu trữ khác nhau và quyết tâm thành công trong việc đánh cắp dữ liệu.

Chỉ số IOCs và Liên kết với Nhóm Magecart Group 12

Các nhà nghiên cứu bảo mật đã xác định bằng chứng mạnh mẽ liên kết chiến dịch này với các tác nhân đe dọa của Magecart Group 12. Bằng chứng này được tìm thấy thông qua định danh “SMILODON” trong các URL máy chủ command-and-control.

Mối liên hệ này, được quan sát từ năm 2021, được hỗ trợ bởi các mẫu mã hóa, lựa chọn cơ sở hạ tầng và địa chỉ email phù hợp với những gì đã liên quan đến các hoạt động lừa đảo (phishing) và skimming trước đây của nhóm.

Chỉ số Compromise (IOCs)

Các chỉ số về sự thỏa hiệp liên quan đến chiến dịch tấn công mạng này bao gồm:

• Địa chỉ IP:121.127.33.229 (được liên kết với nhiều chiến dịch trước đây của nhóm Magecart)
• Định danh nhóm APT:SMILODON (tìm thấy trong URL C2)
• Tên plugin độc hại (ví dụ):
  • license-user-kit
  • jwt-log-pro
  • cron-environment-advanced
  • access-access-pro

Khuyến nghị Bảo mật và Phòng ngừa

Tất cả khách hàng của Wordfence Premium, Care và Response đã nhận được chữ ký phát hiện mã độc ngay lập tức khi chúng được phát hành. Người dùng phiên bản miễn phí nhận được cùng một sự bảo vệ sau độ trễ 30 ngày theo tiêu chuẩn.

Chủ sở hữu trang web được khuyến nghị mạnh mẽ nên quét các cài đặt của họ ngay lập tức, đặc biệt là những trang web đang chạy WooCommerce. Cần cảnh giác cao độ với các cài đặt plugin đáng ngờ có tên được tạo ngẫu nhiên. Đây là biện pháp thiết yếu để ngăn chặn đánh cắp dữ liệu và tăng cường khả năng phát hiện xâm nhập.

Cơ sở dữ liệu Wordfence Threat Intelligence hiện chứa hơn 4.4 triệu mẫu mã độc duy nhất. Tỷ lệ phát hiện vượt quá 99% khi sử dụng các bộ chữ ký cao cấp.