Atacantes desconhecidos estão abusando de plugins de trechos de código menos conhecidos para WordPress para inserir código PHP malicioso em sites de vítimas, capazes de coletar dados de cartão de crédito.
A campanha, observada pela Sucuri em 11 de maio de 2024, envolve o abuso de um plugin do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado. Possui mais de 200 instalações ativas.
Esses ataques são conhecidos por alavancar falhas previamente divulgadas em plugins do WordPress ou credenciais facilmente previsíveis para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração.
A Sucuri afirmou que o plugin Dessky Snippets é usado para inserir um malware de skimming de cartão de crédito PHP do lado do servidor em sites comprometidos e roubar dados financeiros.
“Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de finalização no WooCommerce manipulando o formulário de faturamento e injetando seu próprio código”, disse o pesquisador de segurança Ben Martin.
Especificamente, o código é projetado para adicionar vários novos campos ao formulário de faturamento que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números de verificação do cartão (CVV), que são então exfiltrados para o URL “hxxps://2of[.]cc/wp-content/”.
Um aspecto importante da campanha é que o formulário de faturamento associado à sobreposição falsa tem seu atributo de autocompletar desativado.
“Ao desativar manualmente esse recurso no formulário de finalização falso, reduz a probabilidade de o navegador avisar que informações sensíveis estão sendo inseridas e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo a suspeita e fazendo com que os campos pareçam entradas regulares e necessárias para a transação,” disse Martin.
Esta não é a primeira vez que os atacantes recorreram ao uso de plugins de trechos de código legítimos para fins maliciosos. No mês passado, a empresa revelou o abuso do plugin de trechos de código WPCode para injetar código JavaScript malicioso em sites do WordPress a fim de redirecionar os visitantes para os domínios VexTrio.
Outra campanha de malware denominada Sign1 foi encontrada infectando mais de 39.000 sites do WordPress nos últimos seis meses, usando injeções de JavaScript malicioso através do plugin Simple Custom CSS and JS para redirecionar os usuários para sites de golpes.
Os proprietários de sites do WordPress, especialmente aqueles que oferecem funções de comércio eletrônico, são recomendados a manter seus sites e plugins atualizados, usar senhas fortes para evitar ataques de força bruta e auditar regularmente os sites em busca de sinais de malware ou alterações não autorizadas.
