Agentes de ameaças desconhecidos estão abusando de plugins de trechos de código (code snippet plugins) menos conhecidos para o WordPress, inserindo código PHP malicioso em sites vítimas, capazes de coletar dados de cartão de crédito.
A campanha, observada pela Sucuri em 11 de maio de 2024, envolve o abuso de um plugin do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado.
Ele possui mais de 200 instalações ativas.
Esses ataques são conhecidos por explorar falhas conhecidas em plugins do WordPress ou credenciais facilmente adivinháveis para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração.
A Sucuri afirmou que o plugin Dessky Snippets é usado para inserir um malware de skimming de cartão de crédito em PHP no lado do servidor em sites comprometidos e roubar dados financeiros.
"Esse código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de cobrança e injetando seu próprio código," disse o pesquisador de segurança Ben Martin.
Especificamente, ele foi projetado para adicionar vários novos campos ao formulário de cobrança que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de vencimento e números do Valor de Verificação do Cartão (CVV), que são então exfiltrados para a URL "hxxps://2of[.]cc/wp-content/." Um aspecto notável da campanha é que o formulário de cobrança associado à sobreposição falsa tem seu atributo de preenchimento automático desativado (ou seja, autocomplete="off").
"Ao desativar manualmente esse recurso no formulário de checkout falso, reduz-se a probabilidade de que o navegador avise o usuário de que informações sensíveis estão sendo inseridas e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo a suspeita e fazendo com que os campos pareçam entradas regulares e necessárias para a transação," Martin disse.
Esta não é a primeira vez que agentes de ameaças recorrem ao uso de plugins de trecho de código legítimos para fins maliciosos.
No mês passado, a empresa revelou o abuso do plugin de trecho de código WPCode para injetar código JavaScript malicioso em sites do WordPress a fim de redirecionar os visitantes do site para domínios VexTrio.
Outra campanha de malware, chamada Sign1, foi encontrada por infectar mais de 39.000 sites do WordPress nos últimos seis meses, usando injeções de JavaScript maliciosas por meio do plugin Simple Custom CSS and JS para redirecionar os usuários para sites de golpes.
Donos de sites WordPress, particularmente aqueles que oferecem funções de e-commerce, são recomendados a manter seus sites e plugins atualizados, usar senhas fortes para prevenir ataques de força bruta e auditar regularmente os sites em busca de sinais de malware ou quaisquer alterações não autorizadas.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...