Recentemente, em 11 de maio de 2024, a empresa de segurança Sucuri detectou uma nova campanha de ataques cibernéticos que está explorando plugins menos conhecidos do WordPress para inserir códigos PHP maliciosos em sites, com o objetivo de roubar dados de cartões de crédito. A campanha envolve o uso do plugin Dessky Snippets, que permite aos usuários adicionar código PHP personalizado aos seus sites. Este plugin possui mais de 200 instalações ativas.
Os invasores estão aproveitando vulnerabilidades previamente divulgadas em plugins do WordPress ou utilizando credenciais fáceis de adivinhar para obter acesso administrativo aos sites. Uma vez com acesso, eles podem instalar outros plugins, legítimos ou não, para realizar suas ações maliciosas.
A Sucuri revelou que o plugin Dessky Snippets está sendo utilizado para inserir um malware de captura de dados de cartões de crédito nos sites comprometidos. “Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de faturamento e injetando seu próprio código”, explicou o pesquisador de segurança Ben Martin.
O código adiciona vários novos campos ao formulário de faturamento que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartões, datas de validade e códigos de verificação (CVV), que são então exfiltrados para a URL “hxxps://2of[.]cc/wp-content/.”
Um aspecto notável desta campanha é que o formulário de faturamento falso tem o atributo autocomplete desativado (i.e., autocomplete=”off”). “Ao desativar manualmente essa função no formulário de checkout falso, reduz-se a probabilidade de que o navegador alerte o usuário sobre a inserção de informações sensíveis, garantindo que os campos permaneçam em branco até serem preenchidos manualmente pelo usuário, diminuindo suspeitas e fazendo com que os campos pareçam entradas normais e necessárias para a transação,” acrescentou Martin.
Esta não é a primeira vez que hackers utilizam plugins legítimos de snippets de código para fins maliciosos. No mês passado, a Sucuri revelou o abuso do plugin WPCode para injetar código JavaScript malicioso em sites WordPress, redirecionando os visitantes para domínios VexTrio.
Outra campanha de malware, chamada Sign1, infectou mais de 39.000 sites WordPress nos últimos seis meses, utilizando injeções de JavaScript maliciosas através do plugin Simple Custom CSS and JS para redirecionar os usuários a sites fraudulentos.
Proprietários de sites WordPress, especialmente aqueles que oferecem funções de e-commerce, são recomendados a manter seus sites e plugins sempre atualizados, utilizar senhas fortes para evitar ataques de força bruta e auditar regularmente seus sites em busca de sinais de malware ou alterações não autorizadas.
ZionLab: A Solução Ideal para WooCommerce
Se você está em busca de uma solução segura e eficaz para criação, desenvolvimento, manutenção e suporte técnico de sites WooCommerce, a ZionLab é a escolha perfeita. Especialistas em WooCommerce, a ZionLab oferece um serviço completo que garante a proteção e o desempenho do seu site de e-commerce. Com a ZionLab, você pode contar com:
- Criação e Desenvolvimento: Soluções personalizadas que atendem às necessidades específicas do seu negócio.
- Manutenção e Suporte Técnico: Monitoramento constante e resolução rápida de quaisquer problemas técnicos.
- Segurança Avançada: Implementação das melhores práticas de segurança para proteger seu site contra ameaças.
- Atualizações Regulares: Garantia de que todos os plugins e temas estão sempre atualizados para evitar vulnerabilidades.
Confie na ZionLab para transformar e proteger seu negócio online, oferecendo uma experiência segura e eficiente para seus clientes. Vamos conversar!
