Plugin Rogue do WordPress expõe sites de E-commerce ao roubo de cartão de crédito
25 de Dezembro de 2023

Caçadores de ameaças descobriram um plugin malicioso do WordPress capaz de criar usuários administradores falsos e injetar código JavaScript para roubar informações de cartão de crédito.

A atividade de raspagem faz parte de uma campanha Magecart que visa sites de comércio eletrônico, de acordo com a Sucuri.

"Como em muitos outros plugins WordPress maliciosos ou falsos, ele contém algumas informações enganosas na parte superior do arquivo para dar um verniz de legitimidade", disse o pesquisador de segurança Ben Martin.

"Neste caso, comentários afirmam que o código é 'WordPress Cache Addons.'"

Plugins maliciosos geralmente encontram seu caminho para sites WordPress via usuário administrador comprometido ou a exploração de falhas de segurança em outro plugin já instalado no site.


Após a instalação, o plugin se replica para o diretório mu-plugins (ou plugins de uso obrigatório) para que seja automaticamente ativado e oculte sua presença do painel administrativo.

"Como a única maneira de remover qualquer um dos mu-plugins é removendo manualmente o arquivo, o malware faz de tudo para impedir isso," explicou Martin.

"O malware realiza isso cancelando funções de retorno de chamada para ganchos que plugins como este normalmente usam."

O plugin fraudulento também vem com uma opção para criar e ocultar uma conta de usuário administrador do administrador legítimo do site para evitar levantar suspeitas e ter acesso prolongado ao alvo por períodos estendidos de tempo.

O objetivo final da campanha é injetar malware para roubo de cartão de crédito nas páginas de checkout e exportar as informações para um domínio controlado pelo ator.

"Como muitas infecções no WordPress ocorrem de usuários administradores wp-admin comprometidos, é compreensível que eles tenham que trabalhar dentro das restrições dos níveis de acesso que possuem, e instalar plugins é certamente uma das habilidades chave que os administradores do WordPress possuem," disse Martin.

O anúncio chega semanas após a comunidade de segurança do WordPress avisar sobre uma campanha de phishing que alerta os usuários de uma falha de segurança não relacionada no sistema de gerenciamento de conteúdo da web e os engana para instalar um plugin sob o pretexto de um patch.

O plugin, por sua vez, cria um usuário administrador e implanta um shell da web para acesso remoto persistente.

A Sucuri afirmou que os atores de ameaças por trás da campanha estão aproveitando o status "RESERVADO" associado a um identificador CVE, o que ocorre quando ele foi reservado para uso por uma Autoridade de Numeração CVE (CNA) ou pesquisador de segurança, mas os detalhes ainda precisam ser preenchidos.

Sucuri relatou que descobriu outra campanha Magecart que usa o protocolo de comunicação WebSocket para inserir o código de raspagem nas lojas online.

O malware é acionado ao clicar em um botão falso "Complete Order" que é sobreposto ao botão de checkout legítimo.

O relatório de foco da Europol sobre fraude online divulgado esta semana descreveu a raspagem digital como uma ameaça persistente que resulta no roubo, revenda e uso indevido de dados de cartão de crédito.

"Uma grande evolução na raspagem digital é a mudança do uso de malware de front-end para malware de back-end, tornando-o mais difícil de detectar," afirmou.

A agência de aplicação da lei da EU disse que também notificou 443 comerciantes online de que os dados de cartão de crédito ou cartão de pagamento de seus clientes haviam sido comprometidos em ataques de raspagem.

O Group-IB, que também fez parceria com a Europol na operação transfronteiriça de combate ao cybercrime denominada Digital Skimming Action, afirmou que detectou e identificou 23 famílias de JS-sniffers, incluindo ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter e R3nin, que foram usados contra empresas em 17 diferentes países da Europa e Américas.

"No total, 132 famílias de JS-sniffers são conhecidas, até o final de 2023, por comprometerem websites em todo o mundo," adicionou a firma sediada em Singapura.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...