一种新的网络攻击正在滥用WordPress的代码片段插件,在受害者网站中插入恶意PHP代码以收集信用卡数据。该活动于2024年5月11日由Sucuri观察到,涉及滥用一个名为Dessky Snippets的WordPress插件,该插件允许用户添加自定义PHP代码。该插件有超过200个活跃的安装。
攻击细节
攻击者利用WordPress插件中的已知缺陷或易于猜测的凭据来获得管理员访问权限,然后安装其他插件(无论是合法的还是恶意的)进行后续开发。Sucuri表示,Dessky Snippets插件被用于在受感染的网站上插入服务器端PHP信用卡撇取恶意软件,从而窃取财务数据。
恶意代码行为
安全研究员本·马丁指出,这段恶意代码保存在WordPress wp_options 表中的 dnsp_settings 选项中,旨在通过操纵计费表单并注入自己的代码来修改WooCommerce中的结账过程。具体来说,恶意代码在账单表单中添加了几个新字段,要求信用卡详细信息,包括姓名、地址、信用卡号码、到期日期和信用卡验证值(CVV)号码,并将这些信息泄露到URL “hxxps://2of[.]cc/wp-content/”。
值得注意的是,与虚假覆盖相关的计费表单禁用了其自动完成属性(即 autocomplete="off")。马丁解释说,通过手动禁用此功能,攻击者降低了浏览器警告用户正在输入敏感信息的可能性,并确保字段在用户手动填写之前保持空白,减少怀疑并使字段看起来是交易的常规、必要输入。
先前的类似攻击
这并不是威胁行为者第一次滥用合法的代码片段插件。上个月,Sucuri披露了滥用WPCode代码片段插件的攻击,将恶意JavaScript代码注入WordPress网站,以将网站访问者重定向到VexTrio域。另一个名为Sign1的恶意软件活动在过去六个月中通过使用简单自定义CSS和JS插件的恶意JavaScript注入,将用户重定向到诈骗网站,感染了超过39,000个WordPress网站。
安全建议
WordPress网站所有者,特别是那些提供电子商务功能的网站所有者,建议保持其网站和插件的最新状态,使用强密码来防止暴力攻击,并定期审计网站以寻找恶意软件或任何未经授权的更改的迹象。
