Agentes de ameaças desconhecidos estão abusando de plugins de snippet de código menos conhecidos para o WordPress inserir código PHP malicioso em sites de vítimas que são capazes de coletar dados de cartão de crédito.
A campanha, observada pela Sucuri em 11 de maio de 2024, implica o abuso de um plugin WordPress chamado de WordPress Snippets Desalinhados, que permite aos usuários adicionar código PHP personalizado. Possui mais de 200 instalações ativas.
Esses ataques são conhecidos por alavancar falhas anteriormente divulgadas em plugins do WordPress ou credenciais facilmente adivinháveis para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração.
Sucuri disse que o plugin Dessky Snippets é usado para inserir um malware de skimming de cartão de crédito PHP do lado do servidor em sites comprometidos e roubar dados financeiros.
"Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce manipulando o formulário de faturamento e injetando seu próprio código," pesquisador de segurança Ben Martin disse.
Especificamente, ele foi projetado para adicionar vários novos campos ao formulário de cobrança que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números do Valor de Verificação do Cartão (CVV), que são então filtrados para o URL "hxxps://2of[.]cc/wp-content/."
Um aspecto notável da campanha é que o formulário de faturamento associado à sobreposição falsa tem seu atributo de preenchimento automático desativado (ou seja., autocomplete="off").
"Ao desativar manualmente esse recurso no formulário de checkout falso, reduz a probabilidade de o navegador avisar o usuário de que informações confidenciais estão sendo inseridas, e garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo a suspeita e fazendo com que os campos apareçam como entradas regulares e necessárias para a transação", disse Martin.
Esta não é a primeira vez que os agentes de ameaças recorrem ao uso de plugins legítimos de snippet de código para fins maliciosos. No mês passado, a empresa revelado o abuso do plugin de snippet de código WPCode para injetar código JavaScript malicioso em sites WordPress para redirecionar os visitantes do site para Domínios VexTrio.
Outra campanha de malware apelidada Sinal1 descobriu-se que infectou mais de 39.000 sites WordPress nos últimos seis meses usando injeções maliciosas de JavaScript através do plugin Simple Custom CSS e JS para redirecionar os usuários para sites fraudulentos.
Os proprietários de sites do WordPress, particularmente aqueles que oferecem funções de comércio eletrônico, são recomendados para manter seus sites e plugins atualizados, usar senhas fortes para evitar ataques de força bruta, e regularmente auditar os sites para sinais de malware ou quaisquer alterações não autorizadas.