Plugin WordPress explorado para roubar dados de cartão de crédito de websites de comércio eletrônico
Atores de ameaças desconhecidos estão abusando de plug-ins de trechos de código menos conhecidos para WordPress para inserir código PHP malicioso em websites de vítimas que são capazes de coletar dados de cartão de crédito.
A campanha, observada pela Sucuri em 11 de maio de 2024, envolve o abuso de um plugin WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado. Possui mais de 200 instalações ativas.
Sabe-se que tais ataques aproveitam falhas conhecidas em plug-ins do WordPress ou credenciais facilmente adivinhadas para obter acesso de administrador e instalar outros plug-ins (legítimos ou não) para pós-exploração.
Sucuri disse que o plugin Dessky Snippets é usado para inserir um cartão de crédito PHP do lado do servidor, roubando malware em websites comprometidos e roubando dados financeiros.
“Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce manipulando o formulário de cobrança e injetando seu próprio código”, disse o pesquisador de segurança Ben Martin.
Especificamente, ele foi projetado para adicionar vários novos campos ao formulário de cobrança que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números de valor de verificação do cartão (CVV), que são então exfiltrados para a URL “hxxps: //2of(.)cc/wp-content/.”
Um aspecto digno de nota da campanha é que o formulário de cobrança associado à sobreposição falsa tem seu atributo de preenchimento automático desativado (ou seja, preenchimento automático = “desativado”).
“Ao desativar manualmente esse recurso no formulário de checkout falso, reduz a probabilidade de o navegador avisar o usuário de que informações confidenciais estão sendo inseridas e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo suspeitas e tornando os campos aparecem como insumos regulares e necessários para a transação”, disse Martin.
Esta não é a primeira vez que os agentes de ameaças recorrem ao uso de plug-ins legítimos de trechos de código para fins maliciosos. No mês passado, a empresa revelou o abuso do plugin de snippet de código WPCode para injetar código JavaScript malicioso em websites WordPress, a fim de redirecionar os visitantes do website para domínios VexTrio.
Descobriu-se que outra campanha de malware chamada Sign1 infectou mais de 39.000 websites WordPress nos últimos seis meses, usando injeções maliciosas de JavaScript por meio do plugin Easy Customized CSS e JS para redirecionar usuários para websites fraudulentos.
Recomenda-se aos proprietários de websites WordPress, especialmente aqueles que oferecem funções de comércio eletrônico, que mantenham seus websites e plug-ins atualizados, usem senhas fortes para evitar ataques de força bruta e auditem regularmente os websites em busca de sinais de malware ou quaisquer alterações não autorizadas.
