Un nouveau malware WordPress se cache sur les pages de paiement et imite Cloudflare

Des chercheurs en cybersécurité ont découvert une campagne de malware très avancée ciblant les sites Web WordPress , capable de voler les détails de carte de crédit, les identifiants des utilisateurs et même de profiler les victimes.

Découvert le 16 mai 2025 par l'équipe de renseignement sur les menaces de Wordfence, ce malware se présente sous la forme d'un plugin WordPress trompeur et utilise des méthodes anti-détection inédites. Une tactique particulièrement innovante consiste à héberger un système de gestion en direct directement sur les sites web infectés, ce qui le rend plus difficile à détecter.

Cette opération sophistiquée est active depuis au moins septembre 2023, révèle le blog officiel de Wordfence. Les chercheurs ont analysé plus de 20 échantillons du malware, révélant des caractéristiques communes à toutes les versions, notamment le brouillage du code, des techniques pour éviter l'analyse et des moyens de détecter les outils de développement.

Par exemple, le logiciel malveillant évite astucieusement de s'exécuter sur les pages d'administration pour rester invisible et ne s'active que sur les pages de paiement. Les versions plus récentes créent même de faux formulaires de paiement et imitent les contrôles de sécurité de Cloudflare pour tromper les utilisateurs. Les informations volées sont souvent envoyées sous forme d'adresses web d'images.

Outre le simple vol d'informations de paiement, les chercheurs ont découvert trois autres versions de ce malware, chacune poursuivant des objectifs différents. Une version falsifiait Google Ads pour diffuser de fausses publicités aux utilisateurs mobiles. Une autre était conçue pour voler les identifiants de connexion à WordPress .

Une troisième version propage davantage de logiciels malveillants en remplaçant les liens légitimes des sites web par des liens malveillants. Malgré ces fonctions variées, l'infrastructure logicielle de base est restée cohérente, adaptant ses fonctionnalités à chaque attaque spécifique. Certaines versions utilisaient même l'application de messagerie Telegram pour envoyer des données volées en temps réel et suivre les actions des utilisateurs.

Un échantillon inspecté comprenait également un faux test de vérification humaine étonnamment complet, injecté dynamiquement en plein écran et en plusieurs langues, destiné à la fois à tromper l'utilisateur et à protéger les robots. Ce test inclut des fonctionnalités incroyablement avancées pour les logiciels malveillants, comme la localisation du texte en plusieurs langues, la prise en charge CSS pour les langues de droite à gauche et le mode sombre, des éléments interactifs comme des animations et des SVG tournants, ainsi qu'une imitation manifeste de la marque Cloudflare, révélant une complexité rarement rencontrée auparavant.

Paolo Tresso – Wordfence

Une découverte clé a été un faux plugin WordPress nommé WordPress Core . Sous une apparence inoffensive, il contenait du code JavaScript caché pour l'écrémage et des scripts PHP permettant aux attaquants de gérer les données volées directement depuis le site web compromis.

Ce plugin malveillant exploite également des fonctionnalités spécifiques de WooCommerce, une plateforme e-commerce populaire, pour marquer les commandes frauduleuses comme terminées, contribuant ainsi à retarder leur détection. Son système de gestion caché stocke les données de paiement volées directement dans WordPress, classées dans une section « messages » personnalisée.

Pour se protéger contre cette menace, les administrateurs de sites web doivent rechercher des signes de compromission, notamment des noms de domaine spécifiques liés aux attaquants, tels que api-service-188910982.website et graphiccloudcontent.com . Wordfence a déjà publié des signatures de détection pour ce malware entre le 17 mai et le 15 juin 2025 pour ses utilisateurs premium, les utilisateurs gratuits les recevant après un délai standard de 30 jours.