Você está visualizando atualmente Plugin Do WordPress Explorado Para Roubar Dados de Cartão de Crédito de Sites de E-commerce

Plugin Do WordPress Explorado Para Roubar Dados de Cartão de Crédito de Sites de E-commerce

Atacantes desconhecidos estão abusando de plugins de trechos de código menos conhecidos para WordPress para inserir código PHP malicioso em sites vítimas, capazes de coletar dados de cartão de crédito.

A campanha, observada pela Sucuri em 11 de maio de 2024, envolve o abuso de um plugin do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado. Ele tem mais de 200 instalações ativas.

Tais ataques são conhecidos por aproveitar falhas anteriormente divulgadas em plugins do WordPress ou credenciais fáceis de adivinhar para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração.

A Sucuri disse que o plugin Dessky Snippets é usado para inserir um malware de skimming de cartão de crédito PHP do lado do servidor em sites comprometidos e roubar dados financeiros.

“Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de cobrança e injetando seu próprio código,” disse o pesquisador de segurança Ben Martin.

Especificamente, ele foi projetado para adicionar vários novos campos ao formulário de cobrança que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números de verificação do cartão (CVV), que são posteriormente exfiltrados para o URL “hxxps://2of[.]cc/wp-content/”.

Um aspecto notável da campanha é que o formulário de cobrança associado à sobreposição falsa tem o atributo de autocompletar desativado (ou seja, “autocomplete=”off”).

“Ao desabilitar manualmente esse recurso no formulário falso de checkout, reduz a probabilidade de o navegador alertar o usuário de que informações sensíveis estão sendo inseridas, e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo suspeitas e fazendo com que os campos pareçam entradas regulares e necessárias para a transação,” disse Martin.

Esta não é a primeira vez que os atacantes recorrem ao uso de plugins legítimos de trechos de código para propósitos maliciosos. No mês passado, a empresa revelou o abuso do plugin WPCode code snippet para injetar código JavaScript malicioso em sites do WordPress, a fim de redirecionar visitantes do site para domínios VexTrio.

Outra campanha de malware, denominada Sign1, foi encontrada infectando mais de 39.000 sites do WordPress nos últimos seis meses, usando injeções maliciosas de JavaScript através do plugin Simple Custom CSS and JS para redirecionar os usuários para sites de golpes.

Recomenda-se aos proprietários de sites do WordPress, especialmente aqueles que oferecem funções de comércio eletrônico, que mantenham seus sites e plugins atualizados, usem senhas fortes para evitar ataques de força bruta e auditem regularmente os sites em busca de sinais de malware ou quaisquer alterações não autorizadas.