Plug-in do WordPress Explorado para Roubo de Dados de Cartão de Crédito em Sites de E-commerce

Atores de ameaças desconhecidos estão explorando vulnerabilidades em plug-ins de código menos conhecidos do WordPress para inserir código PHP malicioso em sites de vítimas, com a finalidade de coletar dados de cartões de crédito.

Essa campanha foi identificada pela Sucuri em 11 de maio de 2024 e envolve o abuso de um plug-in do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado em seus sites. Este plug-in conta com mais de 200 instalações ativas, o que o torna um alvo atraente para cibercriminosos.

Tais ataques frequentemente aproveitam falhas previamente divulgadas em plug-ins do WordPress ou utilizam credenciais de administrador que são facilmente adivinhadas para obter acesso privilegiado. Uma vez que os atacantes conseguem acesso ao painel administrativo, eles podem instalar outros plug-ins, sejam legítimos ou não, para continuar com suas atividades maliciosas.

De acordo com a Sucuri, o plug-in Dessky Snippets está sendo utilizado para inserir malware em PHP no lado do servidor, especificamente projetado para roubar dados de cartões de crédito de sites comprometidos. Esse malware coleta informações financeiras dos visitantes dos sites, colocando em risco a segurança dos dados pessoais e financeiros dos usuários.

“Este código malicioso foi armazenado na opção dnsp_settings na tabela wp_options do WordPress. Ele foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de cobrança e injetando seu próprio código,” explicou o pesquisador de segurança Ben Martin.

Especificamente, o código malicioso foi elaborado para adicionar vários novos campos ao formulário de cobrança, solicitando detalhes do cartão de crédito, como nomes, endereços, números de cartão de crédito, datas de validade e números de valor de verificação do cartão (CVV). Esses dados são então exfiltrados para a URL “hxxps://2of[.]cc/wp-content/.”

Um aspecto notável dessa campanha é que o formulário de cobrança associado à sobreposição falsa tem seu atributo de preenchimento automático desativado (autocomplete=”off”).

“Ao desativar manualmente esse recurso no formulário de checkout falso, reduz-se a probabilidade de o navegador alertar o usuário de que informações confidenciais estão sendo inseridas. Isso garante que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, reduzindo suspeitas e fazendo com que os campos pareçam insumos regulares e necessários para a transação,” disse Martin.

Esta não é a primeira vez que agentes de ameaças utilizam plug-ins legítimos de trechos de código para fins maliciosos. No mês passado, a empresa revelou o abuso do plug-in de snippet de código WPCode para injetar código JavaScript malicioso em sites WordPress, redirecionando os visitantes para domínios VexTrio.

Outra campanha de malware, conhecida como Sign1, foi descoberta e já infectou mais de 39.000 sites WordPress nos últimos seis meses. Essa campanha utiliza injeções maliciosas de JavaScript por meio do plug-in Simple Custom CSS e JS, redirecionando usuários para sites fraudulentos.

WordPress

Para se protegerem contra esses ataques, é recomendado que os proprietários de sites WordPress, especialmente aqueles com funções de comércio eletrônico, tomem várias precauções:

1. Manter o site e os plug-ins atualizados: Garantir que o WordPress e todos os plug-ins instalados estejam sempre na versão mais recente é crucial para evitar vulnerabilidades conhecidas que podem ser exploradas por atacantes.
2. Usar senhas fortes: Implementar senhas robustas e únicas para todas as contas administrativas e de usuários pode ajudar a prevenir ataques de força bruta, onde os atacantes tentam várias combinações de senhas até encontrar a correta.
3. Auditar regularmente os sites: Realizar auditorias periódicas no site pode ajudar a identificar sinais de malware ou quaisquer alterações não autorizadas. Isso inclui verificar arquivos do sistema, analisar logs de acesso e monitorar atividades incomuns.

Essas medidas são essenciais para proteger os sites contra ataques cibernéticos e garantir a segurança dos dados dos usuários.