Uma vulnerabilidade crítica de segurança no plugin Funnel Builder, para WordPress, está sendo explorada ativamente no mundo real para injetar código JavaScript malicioso em páginas de checkout do WooCommerce com o objetivo de roubar dados de pagamento.
Os detalhes da atividade foram publicados pela Sansec nesta semana. Até o momento, a falha não possui um identificador CVE oficial.
Ela afeta todas as versões do plugin anteriores à 3.15.0.3, software usado em mais de 40.000 lojas WooCommerce.
Segundo a empresa holandesa de segurança para comércio eletrônico, a falha permite que invasores não autenticados injetem JavaScript arbitrário em todas as páginas de checkout da loja.
O Funnel Builder é um plugin do WordPress para checkout do WooCommerce desenvolvido pela FunnelKit. Ele é usado principalmente para personalizar páginas de checkout, com recursos como upsells em um clique, páginas de destino e otimização da taxa de conversão.
A empresa já lançou um patch na versão 3.15.0.3.
“Os atacantes estão inserindo scripts falsos do Google Tag Manager na configuração ‘External Scripts’ do plugin”, informou a empresa. “O código injetado parece uma ferramenta comum de análise ao lado das tags reais da loja, mas carrega um skimmer de pagamento que rouba números de cartão de crédito, CVVs e endereços de cobrança durante o checkout.”
De acordo com a Sansec, o Funnel Builder inclui um endpoint de checkout exposto publicamente, que permite que uma requisição recebida escolha o tipo de método interno a ser executado. Porém, versões mais antigas foram projetadas sem checagem de permissões do chamador e sem restrição sobre quais métodos poderiam ser invocados.
Um agente malicioso poderia explorar essa brecha enviando uma requisição não autenticada capaz de alcançar um método interno não especificado, que grava dados controlados pelo atacante diretamente nas configurações globais do plugin. Isso permite modificar a configuração “External Scripts” e fazer com que o código malicioso seja executado em todas as páginas de checkout.
Na prática, o invasor pode inserir uma tag <script> maliciosa, acionada em cada transação de checkout em um site WordPress vulnerável. Em pelo menos um caso, a Sansec disse ter observado um payload disfarçado de carregador do Google Tag Manager para executar JavaScript hospedado em um domínio remoto.
O payload identificado, analytics-reports[.]com/wss/jquery-lib.js, se disfarça de um falso script do Google Tag Manager e do Google Analytics, abrindo uma conexão WebSocket com um destino externo em wss://protect-wss[.]com/ws. Em seguida, ele obtém um skimmer adaptado à loja da vítima a partir de um servidor controlado pelo invasor.
Segundo a Sansec, o servidor entrega um skimmer de cartão de pagamento personalizado, capaz de roubar números de cartão de crédito, CVVs, endereços de cobrança e outros dados do cliente.
Os skimmers de cartão de pagamento permitem que threat actors realizem compras online fraudulentas, enquanto os registros roubados muitas vezes acabam sendo vendidos individualmente ou em lotes em portais da dark web conhecidos como mercados de carding.
O objetivo final do ataque é desviar números de cartão de crédito, CVVs, endereços de cobrança e outras informações pessoais que possam ser inseridas pelos visitantes no checkout.
Os administradores de sites são orientados a atualizar o plugin Funnel Builder para a versão mais recente e verificar Settings > Checkout > External Scripts em busca de qualquer item desconhecido, removendo-o.
“Disfarçar skimmers como código do Google Analytics ou do Tag Manager é um padrão recorrente do Magecart, já que os revisores tendem a passar direto por qualquer coisa que pareça uma tag de rastreamento conhecida”, afirmou a Sansec.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...