Actores de amenazas desconocidos están abusando de complementos de fragmentos de código menos conocidos para WordPress para insertar código PHP malicioso en sitios víctimas que son capaces de recopilar datos de tarjetas de crédito.
La campaña, observada por Sucuri el 11 de mayo de 2024, implica el abuso de un complemento de WordPress llamado Dessky Snippets , que permite a los usuarios agregar código PHP personalizado. Tiene más de 200 instalaciones activas.
Se sabe que estos ataques aprovechan fallas previamente reveladas en complementos de WordPress o credenciales fácilmente adivinables para obtener acceso de administrador e instalar otros complementos (legítimos o no) para su posterior explotación.
Ataques en WordPress
Sucuri dijo que el complemento Dessky Snippets se utiliza para insertar una tarjeta de crédito PHP del lado del servidor que roba malware en sitios comprometidos y roba datos financieros.
«Este código malicioso se guardó en la opción dnsp_settings en la tabla wp_options de WordPress y fue diseñado para modificar el proceso de pago en WooCommerce manipulando el formulario de facturación e inyectando su propio código», dijo el investigador de seguridad Ben Martin .
Específicamente, está diseñado para agregar varios campos nuevos al formulario de facturación que solicitan detalles de la tarjeta de crédito, incluidos nombres, direcciones, números de tarjetas de crédito, fechas de vencimiento y números de valor de verificación de tarjeta (CVV), que luego se filtran a la URL «hxxps: //2de[.]cc/wp-content/.»
Formulario asociado
Un aspecto digno de mención de la campaña es que el formulario de facturación asociado con la superposición falsa tiene su atributo de autocompletar deshabilitado (es decir, autocompletar=»off» ).
«Al desactivar manualmente esta función en el formulario de pago falso, se reduce la probabilidad de que el navegador advierta al usuario que se está ingresando información confidencial y garantiza que los campos permanezcan en blanco hasta que el usuario los complete manualmente, lo que reduce las sospechas y hace que los campos aparecen como insumos regulares y necesarios para la transacción», dijo Martin.
Esta no es la primera vez que los actores de amenazas recurren al uso de complementos de fragmentos de código legítimos con fines maliciosos. El mes pasado, la compañía reveló el abuso del complemento de fragmento de código WPCode para inyectar código JavaScript malicioso en sitios de WordPress con el fin de redirigir a los visitantes del sitio a dominios VexTrio .
39.000 sitios de WordPress
Se ha descubierto que otra campaña de malware denominada Sign1 ha infectado más de 39.000 sitios de WordPress en los últimos seis meses mediante el uso de inyecciones maliciosas de JavaScript a través del complemento Simple Custom CSS y JS para redirigir a los usuarios a sitios fraudulentos.
Se recomienda a los propietarios de sitios de WordPress, en particular a aquellos que ofrecen funciones de comercio electrónico, que mantengan sus sitios y complementos actualizados, utilicen contraseñas seguras para evitar ataques de fuerza bruta y auditen periódicamente los sitios en busca de signos de malware o cambios no autorizados.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.