Los actores de amenazas aprovechan un complemento poco conocido de WordPress para insertar código PHP malicioso en sitios web, con el fin de recolectar información de tarjetas de crédito. La campaña, detectada por Sucuri el 11 de mayo de 2024, involucra el abuso del complemento de WordPress «Dessky Snippets«, el cual permite a los usuarios integrar código PHP personalizado y cuenta con más de 200 instalaciones activas.
Estos ataques suelen explotar vulnerabilidades en complementos de WordPress o credenciales fáciles de descifrar para obtener acceso de administrador e instalar otros complementos, ya sea legítimos o no, para la post-explotación. Sucuri señaló que el complemento «Dessky Snippets» se emplea para insertar un malware de skimming de tarjetas de crédito PHP del lado del servidor en sitios comprometidos, con el propósito de sustraer datos financieros.
El malware es almacenado en la opción «dnsp_settings» en la tabla «wp_options» de WordPress y está diseñado para alterar el proceso de pago en WooCommerce manipulando el formulario de facturación e inyectando su propio código. Específicamente, realiza la adición de varios campos nuevos al formulario de facturación que piden detalles de la tarjeta de crédito, incluyendo nombres, direcciones, números de tarjetas de crédito, fechas de vencimiento y números de verificación de tarjeta (CVV), los cuales son extraídos a la URL «hxxps://2of[.]cc/wp-content/».
Un aspecto relevante de la campaña es que el formulario de facturación vinculado a la superposición falsa cuenta con su atributo de autocompletar deshabilitado (autocomplete=»off»). Esto disminuye la probabilidad de que el navegador advierta al usuario sobre la introducción de información sensible, asegurando que los campos permanezcan en blanco hasta que el usuario los complete manualmente, reduciendo así la sospecha y haciéndolos parecer entradas regulares y necesarias para la transacción.
No es la primera vez que actores de amenazas recurren al uso de complementos legítimos de fragmentos de código con propósitos maliciosos. El mes pasado, la compañía reveló el abuso del complemento de fragmentos de código de WPCode para inyectar código JavaScript malicioso en sitios de WordPress con el fin de redirigir a los visitantes del sitio a dominios de VexTrio. Otra amenaza llamada «Sign1» ha sido encontrada infectando más de 39.000 sitios de WordPress en los últimos seis meses mediante inyecciones maliciosas de JavaScript a través del complemento de «CSS y JS personalizado simple» para redirigir a los usuarios a sitios de estafas.
Se recomienda a los propietarios de sitios de WordPress, especialmente aquellos con funciones de comercio electrónico, mantener sus sitios y complementos actualizados, utilizar contraseñas sólidas para prevenir ataques de fuerza bruta y realizar auditorías periódicas en busca de indicios de malware o cambios no autorizados.
Vía The Hacker News
