Skimmers do WordPress evitam detecção injetando-se em tabelas de banco de dados

Sticky 13/01/2025
Captura de tela 2025 01 13 095214
Visualizações: 5

Pesquisadores de segurança cibernética estão alertando sobre uma nova campanha furtiva de skimmer de cartão de crédito que tem como alvo páginas de checkout de comércio eletrônico do WordPress, inserindo código JavaScript malicioso em uma tabela de banco de dados associada ao sistema de gerenciamento de conteúdo (CMS).

“Este malware skimmer de cartão de crédito que tem como alvo sites WordPress injeta silenciosamente JavaScript malicioso em entradas de banco de dados para roubar detalhes confidenciais de pagamento”, disse o pesquisador da Sucuri Puja Srivastava em uma nova análise.

“O malware é ativado especificamente em páginas de checkout, sequestrando campos de pagamento existentes ou injetando um formulário de cartão de crédito falso.”

A empresa de segurança de sites de propriedade da GoDaddy disse que descobriu o malware incorporado na tabela wp_options do WordPress com a opção “widget_block”, permitindo assim que ele evitasse a detecção por ferramentas de varredura e persistisse em sites comprometidos sem atrair atenção.

Ao fazer isso, a ideia é inserir o JavaScript malicioso em um widget de bloco HTML por meio do painel de administração do WordPress (wp-admin > widgets).

O código JavaScript funciona verificando se a página atual é uma página de checkout e garante que ele entre em ação somente depois que o visitante do site estiver prestes a inserir seus detalhes de pagamento, momento em que ele cria dinamicamente uma tela de pagamento falsa que imita processadores de pagamento legítimos como o Stripe.

O formulário é projetado para capturar números de cartão de crédito, datas de expiração, números CVV e informações de cobrança dos usuários. Como alternativa, o script desonesto também é capaz de capturar dados inseridos em telas de pagamento legítimas em tempo real para maximizar a compatibilidade.

Os dados roubados são subsequentemente codificados em Base64 e combinados com criptografia AES-CBC para fazê-los parecer inofensivos e resistir a tentativas de análise. No estágio final, eles são transmitidos para um servidor controlado pelo invasor (“valhafather[.]xyz” ou “fqbe23[.]xyz”).

O desenvolvimento ocorre mais de um mês após a Sucuri destacar uma campanha semelhante que utilizava malware JavaScript para criar dinamicamente formulários falsos de cartão de crédito ou extrair dados inseridos em campos de pagamento em páginas de checkout.

As informações coletadas são então submetidas a três camadas de ofuscação, codificando-as primeiro como JSON, criptografando-as com XOR com a chave “script” e, finalmente, usando a codificação Base64, antes da exfiltração para um servidor remoto (“staticfonts[.]com”).

“O script é projetado para extrair informações confidenciais de cartão de crédito de campos específicos na página de checkout”, observou Srivastava. “Então, o malware coleta dados adicionais do usuário por meio das APIs do Magento, incluindo o nome do usuário, endereço, e-mail, número de telefone e outras informações de cobrança. Esses dados são recuperados por meio dos modelos de dados do cliente e cotação do Magento.”

A divulgação também ocorre após a descoberta de uma campanha de e-mail de phishing com motivação financeira que engana os destinatários, fazendo-os clicar em páginas de login do PayPal sob o pretexto de uma solicitação de pagamento pendente no valor de quase US$ 2.200.

“O golpista parece ter simplesmente registrado um domínio de teste do Microsoft 365, que é gratuito por três meses, e então criou uma lista de distribuição (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) contendo e-mails de vítimas”, disse Carl Windsor, da Fortinet FortiGuard Labs . “No portal da web do PayPal, eles simplesmente solicitam o dinheiro e adicionam a lista de distribuição como o endereço.”

O que torna a campanha sorrateira é o fato de que as mensagens se originam de um endereço legítimo do PayPal (service@paypal.com) e contêm uma URL de login genuína, o que permite que os e-mails passem pelas ferramentas de segurança.

Para piorar a situação, assim que a vítima tenta fazer login em sua conta do PayPal para solicitar o pagamento, sua conta é automaticamente vinculada ao endereço de e-mail da lista de distribuição, permitindo que o invasor tome o controle da conta.

Nas últimas semanas, também foram observados agentes mal-intencionados utilizando uma nova técnica chamada simulação de transação falsificada para roubar criptomoedas das carteiras das vítimas.

“As carteiras Web3 modernas incorporam a simulação de transações como um recurso amigável ao usuário”, disse Scam Sniffer . “Esse recurso permite que os usuários visualizem o resultado esperado de suas transações antes de assiná-las. Embora projetadas para melhorar a transparência e a experiência do usuário, os invasores encontraram maneiras de explorar esse mecanismo.”

Captura de tela 2025 01 13 095214

As cadeias de infecção envolvem o aproveitamento do intervalo de tempo entre a simulação e a execução da transação, permitindo que invasores criem sites falsos imitando aplicativos descentralizados (DApps) para realizar ataques fraudulentos de esvaziamento de carteira.

“Este novo vetor de ataque representa uma evolução significativa nas técnicas de phishing”, disse o provedor de soluções anti-scam Web3. “Em vez de depender de simples enganos, os invasores agora estão explorando recursos de carteira confiáveis ​​nos quais os usuários confiam para segurança. Esta abordagem sofisticada torna a detecção particularmente desafiadora.”

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

DeepSeek AI Database Exposed

Mais de 1 Milhão de Linhas de Log, Chaves Secretas Vazadas do Banco de dados DeepSeek AI

Sticky 30/01/2025

Buzzy Chinês de inteligência artificial (AI) startup DeepSeek, que teve um aumento meteórico na popularidade nos últimos dias, deixou um de seus bancos de dados expostos na internet, o que poderia ter permitido que atores mal-intencionados obtivessem acesso a dados confidenciais. O banco de dados ClickHouse “permite controle total sobre as operações do banco de dados, […]

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

Mais de 390.000 credenciais do WordPress roubadas por meio de explorações maliciosas de PoC de hospedagem de repositórios do GitHub

Sticky 14/12/2024

Estima-se que um repositório do GitHub, agora removido, que anunciava uma ferramenta do WordPress para publicar postagens no sistema de gerenciamento de conteúdo (CMS) online tenha permitido a exfiltração de mais de 390.000 credenciais. A atividade maliciosa faz parte de uma campanha de ataque mais ampla realizada por um agente de ameaça, denominado MUT-1244 (onde […]

Falha no plugin WordPress Hunk

Falha no plugin WordPress Hunk Companion é explorada para instalar silenciosamente plugins vulneráveis

Sticky 13/12/2024

Atores mal-intencionados estão explorando uma vulnerabilidade crítica no plugin Hunk Companion para WordPress para instalar outros plugins vulneráveis ​​que podem abrir caminho para uma variedade de ataques. A falha, rastreada como CVE-2024-11972 (pontuação CVSS: 9.8), afeta todas as versões do plugin anteriores à 1.9.0. O plugin tem mais de 10.000 instalações ativas. “Essa falha representa um risco […]