Nieuwe WordPress-malware verbergt zich op afrekenpagina's en imiteert Cloudflare

Cybersecurityonderzoekers hebben een zeer geavanceerde malwarecampagne ontdekt die gericht is op WordPress-websites . Hiermee kunnen creditcardgegevens en gebruikersnamen worden gestolen en zelfs slachtoffers worden geprofileerd.

Deze malware, ontdekt op 16 mei 2025 door het Wordfence Threat Intelligence Team, is verpakt als een misleidende WordPress-plug-in en maakt gebruik van nooit eerder vertoonde antidetectiemethoden. Een bijzonder innovatieve tactiek is het hosten van een live beheersysteem direct op de geïnfecteerde websites, waardoor de malware moeilijker te detecteren is.

Deze geavanceerde operatie is al sinds minstens september 2023 actief, zo blijkt uit de officiële blogpost van Wordfence. Onderzoekers analyseerden meer dan 20 samples van de malware en onthulden gedeelde kenmerken in alle versies, waaronder codeversleuteling, technieken om analyse te vermijden en manieren om ontwikkelaarstools te detecteren.

De malware vermijdt bijvoorbeeld slim om op beheerderspagina's te draaien om verborgen te blijven en activeert alleen op afrekenschermen. Nieuwere versies creëren zelfs nep-betaalformulieren en imiteren Cloudflare-beveiligingscontroles om gebruikers te misleiden. Gestolen informatie wordt vaak vermomd als afbeeldingswebadressen verzonden.

Naast het stelen van betalingsgegevens, ontdekten onderzoekers nog drie andere versies van deze malware, elk met verschillende doelen. Eén versie manipuleerde Google Ads om nepadvertenties te tonen aan mobiele gebruikers. Een andere versie was ontworpen om inloggegevens voor WordPress te stelen.

Een derde versie verspreidt meer malware door legitieme links op websites te veranderen in kwaadaardige links. Ondanks deze uiteenlopende functies bleef het softwareframework consistent en werden de functies aangepast aan elke specifieke aanval. Sommige versies gebruikten zelfs de berichtenapp Telegram om gestolen gegevens in realtime te versturen en gebruikersacties te volgen.

Eén onderzocht monster bevatte ook een verrassend complete, neppe menselijke verificatie-uitdaging, dynamisch geïnjecteerd als een volledig scherm en meertalig scherm, bedoeld om zowel te dienen als middel om gebruikers te misleiden als als anti-botfilter. Dit omvat ongelooflijk geavanceerde functies voor malware, zoals tekst gelokaliseerd in meerdere talen, CSS-ondersteuning voor RTL-talen en een donkere modus, interactieve elementen zoals animaties en draaiende SVG's, en een duidelijke Cloudflare-merkimitatie, wat een complexiteit aan het licht bracht die we nog maar zelden eerder zijn tegengekomen.

Paolo Tresso – Wordfence

Een belangrijke ontdekking was een neppe WordPress-plugin genaamd WordPress Core . Hoewel deze er onschuldig uitzag, bevatte deze verborgen JavaScript-code voor skimmen en PHP-scripts waarmee aanvallers gestolen gegevens rechtstreeks vanaf de gecompromitteerde website konden beheren.

Deze malafide plugin maakte ook gebruik van specifieke functies van WooCommerce, een populair e-commerceplatform, om frauduleuze bestellingen als voltooid te markeren, wat de detectie vertraagt. Het verborgen beheersysteem slaat gestolen betalingsgegevens rechtstreeks op in WordPress, gecategoriseerd onder een aangepaste sectie 'berichten'.

Om zich tegen deze bedreiging te beschermen, moeten websitebeheerders letten op tekenen van een aanval, waaronder specifieke domeinnamen die aan de aanvallers zijn gekoppeld, zoals api-service-188910982.website en graphiccloudcontent.com . Wordfence heeft tussen 17 mei en 15 juni 2025 al detectiehandtekeningen voor deze malware vrijgegeven aan zijn premiumgebruikers. Gratis gebruikers ontvangen deze standaard binnen 30 dagen.