La campaña implica el abuso de un plugin de WordPress llamado Dessky Snippets, que permite a los usuarios agregar código PHP personalizado. Este plugin cuenta con más de 200 instalaciones activas. Dichos ataques suelen aprovechar fallos conocidos en los plugins de WordPress o credenciales fácilmente adivinables para obtener acceso de administrador e instalar otros plugins (legítimos o no) para explotación posterior.
Detalles Técnicos del Ataque
De acuerdo a Sucuri, el plugin Dessky Snippets se utiliza para insertar un malware de skimming de tarjetas de crédito del lado del servidor en sitios comprometidos y robar datos financieros. El código malicioso se guarda en la opción ‘dnsp_settings’ en la tabla ‘wp_options’ de WordPress y está diseñado para modificar el proceso de pago en WooCommerce mediante la manipulación del formulario de facturación e inyectando su propio código.
Concretamente, está diseñado para agregar varios campos nuevos al formulario de facturación que solicitan detalles de tarjetas de crédito, incluyendo nombres, direcciones, números de tarjeta de crédito, fechas de vencimiento y números de valor de verificación de tarjeta (CVV), que luego se exfiltran a la URL hxxps://2of[.]cc/wp-content/.
Desactivación de Autocompletar
Un aspecto notable de la campaña es que el formulario de facturación asociado con la superposición falsa tiene su atributo de autocompletar deshabilitado (es decir, autocomplete="off"). «Al desactivar manualmente esta característica en el formulario de pago falso, se reduce la probabilidad de que el navegador advierta al usuario que se están introduciendo datos sensibles y asegura que los campos permanezcan en blanco hasta que el usuario los llene manualmente, reduciendo la sospecha y haciendo que los campos parezcan entradas regulares, necesarias para la transacción», afirmó el investigador de seguridad Ben Martin.
Esta no es la primera vez que actores maliciosos recurren al uso de plugins legítimos de fragmentos de código para fines maliciosos. El mes pasado, la compañía reveló el abuso del plugin WPCode para inyectar código JavaScript malicioso en sitios de WordPress.
Ataque de malware Sign1 afecta a más de 39,000 sitios de WordPress
Una preocupante campaña de malware ha sido descubierta, infectando más de 39,000 sitios de WordPress en los últimos seis meses. Este ataque, denominado Sign1, utiliza inyecciones maliciosas de JavaScript a través del plugin Simple Custom CSS and JS para redirigir a los visitantes del sitio a dominios peligrosos como VexTrio.
Detalles de la campaña Sign1
El malware Sign1 emplea inyecciones de código para insertar scripts maliciosos en los sitios web de WordPress. Estos scripts luego redirigen a los usuarios a sitios de estafa, poniéndolos en riesgo de suplantación de identidad y otros fraudes. La infección se ha propagado de manera alarmante, afectando tanto a pequeños blogs como a grandes tiendas online.
Recomendaciones de Seguridad
Para los propietarios de sitios de WordPress, especialmente aquellos que ofrecen funciones de e-commerce, es crucial tomar medidas proactivas para garantizar la seguridad de sus sitios. Aquí algunas recomendaciones esenciales:
Mantén tu sitio y plugins actualizados
Asegúrate de que tu sitio de WordPress y todos los plugins estén siempre actualizados a sus últimas versiones. Las actualizaciones suelen incluir parches de seguridad que pueden protegerte contra nuevas amenazas.
Usa contraseñas fuertes
Utiliza contraseñas complejas y únicas para todos los usuarios administrativos de tu sitio. Esto ayudará a prevenir ataques de fuerza bruta que busquen adivinar tus credenciales.
Audita regularmente tu sitio
Realiza auditorías de seguridad periódicas para detectar signos de malware o cualquier cambio no autorizado en tu sitio. Existen herramientas de seguridad especializadas que pueden ayudarte en esta tarea.
