Plugin de WordPress Explotado para Robar Datos de Tarjetas de Crédito de Sitios de Comercio Electrónico.

Por:


Actores de amenazas desconocidos están abusando de complementos de fragmentos de código menos conocidos para WordPress para insertar código PHP malicioso en sitios de víctimas capaz de recopilar datos de tarjetas de crédito.

La campaña, observada por Sucuri el 11 de mayo de 2024, implica el abuso de un complemento de WordPress llamado Dessky Snippets, que permite a los usuarios agregar código PHP personalizado. Tiene más de 200 instalaciones activas.

Se sabe que este tipo de ataques aprovechan fallas conocidas en los complementos de WordPress o credenciales fáciles de adivinar para obtener acceso de administrador e instalar otros complementos (legítimos o no) para la postexplotación.

Sucuri dijo que el complemento Dessky Snippets se utiliza para insertar un malware de robo de tarjetas de crédito PHP del lado del servidor en sitios comprometidos y robar datos financieros.

Ciberseguridad

“Este código malicioso se guardó en la opción dnsp_settings en la tabla wp_options de WordPress y fue diseñado para modificar el proceso de pago en WooCommerce al manipular el formulario de facturación e inyectar su propio código,” dijo el investigador de seguridad Ben Martin dijo.

Específicamente, está diseñado para agregar varios campos nuevos al formulario de facturación que solicitan detalles de tarjetas de crédito, incluidos nombres, direcciones, números de tarjeta de crédito, fechas de caducidad y números de verificación de tarjeta (CVV), que luego se extraen a la URL “hxxps://2of[.]cc/wp-content/.”

Un aspecto destacado de la campaña es que el formulario de facturación asociado con la superposición falsa tiene el atributo autocomplete deshabilitado (es decir, autocomplete=”off”).

“Al deshabilitar manualmente esta función en el formulario de pago falso, se reduce la probabilidad de que el navegador advierta al usuario que se está ingresando información sensible, y asegura que los campos permanezcan en blanco hasta que el usuario los complete manualmente, reduciendo la sospecha y haciendo que los campos parezcan entradas regulares y necesarias para la transacción,” dijo Martin.

No es la primera vez que los actores de amenazas recurren al uso de complementos legítimos de fragmentos de código con fines maliciosos. El mes pasado, la empresa reveló el abuso del complemento de fragmentos de código WPCode para inyectar código JavaScript malicioso en sitios de WordPress para redirigir a los visitantes del sitio a dominios de VexTrio.

Ciberseguridad

Otra campaña de malware denominada Sign1 se ha encontrado que ha infectado más de 39,000 sitios de WordPress en los últimos seis meses mediante inyecciones maliciosas de JavaScript a través del complemento Simple Custom CSS and JS para redirigir a los usuarios a sitios de estafas.

Se recomienda a los propietarios de sitios de WordPress, especialmente aquellos que ofrecen funciones de comercio electrónico, que mantengan sus sitios y complementos actualizados, utilicen contraseñas fuertes para evitar ataques de fuerza bruta y realicen auditorías periódicas de los sitios en busca de signos de malware o cualquier cambio no autorizado.





Fuente

Compartir:

Entradas relacionadas