Согласно отчетуSucuri, неизвестные хакеры используют малоизвестные плагины WordPress для внедрения вредоносного PHP-кода на сайты жертв и кражи платежных данных. Специалисты Sucuri 11 мая обнаружили кампанию, в ходе которой злоумышленники использовали плагин Dessky Snippets . Плагин, позволяющий пользователям добавлять собственный PHP-код, имеет более 200 активных установок.
В подобных атаках хакеры используют уязвимости в плагинах WordPress или легко угадываемые учетные данные для получения доступа администратора. После этого они устанавливают дополнительные плагины для дальнейшей эксплуатации. Плагин Dessky Snippets используется для внедрения серверного вредоносного ПО на PHP, которое занимается скиммингом банковских карт на скомпрометированных сайтах и кражей финансовых данных.
Вредоносный код сохраняется в параметре dnsp_settings таблицы wp_options и изменяет процесс оформления заказа в WooCommerce. Код манипулирует формой выставления счета, добавляя поля для ввода данных платежной карты – имя, адрес, номер карты, дата истечения срока действия и CVV-номер. Собранные данные затем передаются на URL-адрес “hxxps://2of[.]cc/wp-content/”.
Характеристики вредоносной кампании
Особенностью кампании является отключение атрибута автозаполнения ( autocomplete=”off” ) в форме выставления счета. Это снижает вероятность того, что браузер предупредит пользователя о вводе конфиденциальной информации. Также поля формы остаются пустыми до тех пор, пока пользователь не заполнит их вручную, что снижает подозрения.
Рекомендации для владельцев сайтов WordPress
Владельцам сайтов WordPress, особенно тем, кто предлагает функции электронной коммерции, рекомендуется поддерживать свои сайты и плагины в актуальном состоянии. Используйте надежные пароли для предотвращения атак методом перебора и регулярно проверяйте сайты на наличие признаков вредоносного ПО или любых несанкционированных изменений.
Ранее стало известно, что киберпреступники начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress, что позволяет создавать учетные записи с административными привилегиями и устанавливать бэкдоры для долгосрочного доступа.