Onbekende bedreigingsactoren maken misbruik van minder bekende plug-ins voor codefragmenten voor WordPress om kwaadaardige PHP-code in te voegen op sites van slachtoffers die creditcardgegevens kunnen verzamelen.
De campagne, waargenomen door Sucuri op 11 mei 2024, omvat misbruik van een WordPress-plug-in genaamd Dessky Snippets, waarmee gebruikers aangepaste PHP-code kunnen toevoegen. Het heeft meer dan 200 actieve installaties.
Het is bekend dat dergelijke aanvallen gebruik maken van bekende fouten in WordPress-plug-ins of gemakkelijk te raden inloggegevens om beheerderstoegang te verkrijgen en andere plug-ins (al dan niet legitiem) te installeren voor post-exploitatie.
Sucuri zei dat de plug-in Dessky Snippets wordt gebruikt om PHP-creditcard-skimming-malware op de server op gecompromitteerde sites te plaatsen en financiële gegevens te stelen.
“Deze kwaadaardige code werd opgeslagen in de optie dnsp_settings in de wp_options-tabel van WordPress en is ontworpen om het afrekenproces in WooCommerce te wijzigen door het factuurformulier te manipuleren en zijn eigen code te injecteren”, aldus beveiligingsonderzoeker Ben Martin.
Het is specifiek ontworpen om verschillende nieuwe velden aan het factuurformulier toe te voegen waarin om creditcardgegevens wordt gevraagd, waaronder namen, adressen, creditcardnummers, vervaldata en Card Verification Value (CVV)-nummers, die vervolgens worden geëxfiltreerd naar de URL “hxxps: //2of(.)cc/wp-content/.”
Een opmerkelijk aspect van de campagne is dat het autocomplete-attribuut van het factureringsformulier dat aan de nep-overlay is gekoppeld, is uitgeschakeld (dwz autocomplete='off').
“Door deze functie handmatig uit te schakelen op het nep-afrekenformulier verkleint het de kans dat de browser de gebruiker waarschuwt dat er gevoelige informatie wordt ingevoerd, en zorgt het ervoor dat de velden leeg blijven totdat de gebruiker deze handmatig invult, waardoor argwaan wordt verminderd en de velden automatisch worden ingevuld. verschijnen als reguliere, noodzakelijke input voor de transactie”, aldus Martin.
Dit is niet de eerste keer dat bedreigingsactoren hun toevlucht nemen tot het gebruik van legitieme plug-ins voor codefragmenten voor kwaadaardige doeleinden. Vorige maand onthulde het bedrijf misbruik van de WPCode-plug-in voor codefragmenten om kwaadaardige JavaScript-code in WordPress-sites te injecteren om sitebezoekers om te leiden naar VexTrio-domeinen.
Een andere malwarecampagne genaamd Sign1 bleek de afgelopen zes maanden meer dan 39.000 WordPress-sites te hebben geïnfecteerd door kwaadaardige JavaScript-injecties te gebruiken via de Simple Custom CSS- en JS-plug-in om gebruikers om te leiden naar oplichtingssites.
Eigenaren van WordPress-sites, vooral degenen die e-commercefuncties aanbieden, wordt aangeraden om hun sites en plug-ins up-to-date te houden, sterke wachtwoorden te gebruiken om brute-force-aanvallen te voorkomen en de sites regelmatig te controleren op tekenen van malware of ongeoorloofde wijzigingen.