Atores maliciosos desconhecidos estão abusando de plugins de snippets de código menos conhecidos do WordPress para inserir código PHP malicioso em sites de vítimas, capazes de coletar dados de cartão de crédito. A campanha, observada em 11 de maio de 2024, envolve o uso do plugin do WordPress chamado Dessky Snippets, que permite aos usuários adicionar código PHP personalizado. O plugin possui mais de 200 instalações ativas.

Esses ataques costumam explorar falhas conhecidas em plugins do WordPress ou credenciais facilmente adivinháveis para obter acesso de administrador e instalar outros plugins (legítimos ou não) para pós-exploração. O plugin Dessky Snippets é utilizado para inserir um malware de skimming de cartão de crédito no lado do servidor em sites comprometidos e roubar dados financeiros. “Este código malicioso foi salvo na opção dnsp_settings na tabela wp_options do WordPress e foi projetado para modificar o processo de checkout no WooCommerce, manipulando o formulário de cobrança e injetando seu próprio código,” disse o pesquisador de segurança Ben Martin.

Especificamente, o código adiciona vários novos campos ao formulário de cobrança que solicitam detalhes do cartão de crédito, incluindo nomes, endereços, números de cartão de crédito, datas de validade e números de CVV, que são então exfiltrados para a URL “hxxps://2of[.]cc/wp-content/.”