Nepoznati hakeri zloupotrebljavaju manje poznate dodatke za isječak koda za WordPress kako bi ubacili zlonamjerni PHP kod u stranice žrtava koje su sposobne prikupljati podatke o kreditnim karticama.
Kampanja, koju je primijetio Sucuri 11. maja 2024., uključuje zloupotrebu WordPress dodatka pod nazivom Dessky Snippets , koji korisnicima omogućava dodavanje prilagođenog PHP koda. Ima preko 200 aktivnih instalacija.
Poznato je da takvi napadi koriste poznate nedostatke u WordPress dodacima ili lako idealnim akredativima kako bi dobili administratorski pristup i instalirali druge dodatke (legitimne ili druge) za naknadnu eksploataciju.
Sucuri je rekao da se dodatak Dessky Snippets koristi za ubacivanje zlonamjernog softvera na strani servera za PHP kreditne kartice na kompromitovane stranice i krađu finansijskih podataka.
WordPress dodatci
“Ovaj zlonamjerni kod je sačuvan u opciji dnsp_settings u WordPress wp_options tabeli i dizajniran je da upotrijebi proces naplate u WooCommerceu manipulacijom šablona za naplatu i ubacivanjem vlastitog koda”, rekao je istraživač sigurnosti Ben Martin .
Konkretno, dizajniran je tako da se u šablon za naplatu doda nekoliko novih polja koja zahtijevaju detalje kreditne kartice, uključujući imena, adrese, brojeve kreditnih kartica, datume isteka i brojeve provjere vrijednosti kartice (CVV), koji se zatim eksfiltriraju na URL “hxxps: //2of[.]cc/wp-content/.”
Značajan aspekt kampanje je da šablon za naplatu povezan sa lažnim preklapanjem ima onemogućen atribut autocomplete (tj. autocomplete=”off” ).
„Ručnim onemogućavanjem ove funkcije na lažnom šablonu za naplatu smanjuje se vjerovatnoća da će browser upozoriti korisnika da se unose osjetljive informacije i osigurava da polja ostaju prazna dok ih korisnik ručno ne popuni, smanjujući sumnju i pretvarajući polja. pojavljuju se kao redovni, neophodni inputi za transakciju”, rekao je Martin.
Ovo nije prvi put da su hakeri pribjegli korištenju legitimnih dodataka za isječak koda u zlonamjerne svrhe. Prošlog mjeseca, kompanija je otkrila zloupotrebu dodatka za isječak koda WPCode za ubacivanje zlonamjernog JavaScript koda u WordPress stranice kako bi se posjetioci stranice preusmjerili na VexTrio domene .
Utvrđeno je da je druga zlonamjerna kampanja nazvana Sign1 zarazila preko 39.000 WordPress stranica u posljednjih šest mjeseci koristeći zlonamjerne JavaScript injekcije preko Simple Custom CSS i JS dodatka za preusmjeravanje korisnika na stranice za prevaru.
Vlasnicima WordPress stranica, posebno onima koji nude funkcije online prodaje, preporučuje se da ažuriraju svoje web stranice i dodatke, da koriste jake lozinke kako bi spriječili napade grubom silom i da redovno provjeravaju web stranice na znakove zlonamjernog softvera ili bilo kakve neovlaštene promjene.
Izvor:The Hacker News
