Avvisa gli amministratori di WordPress. Se hai eseguito il plug-in Dessky Snippets sui tuoi e-store WordPress, scansiona i tuoi siti per possibili codici dannosi. Gli hacker criminali hanno recentemente sfruttato il plug-in Dessky snippets per distribuire web skimmer e rubare informazioni di pagamento.
Il plugin Dessky Snippets è stato sfruttato per distribuire malware di skimming delle carte
Secondo un recente inviare di Sucuri, hanno riscontrato un grave problema di sicurezza con il plugin WordPress Dessky Snippets. Sebbene il problema in genere non influisca sulla struttura del plug-in, consente agli autori delle minacce di abusarne in modo dannoso.
Come osservato, gli hacker hanno sfruttato il plugin Desky Snippets per distribuire malware per lo skimming delle carte sui siti Web presi di mira e rubare informazioni di pagamento.
Dessky Snippets è un plugin WordPress leggero che aiuta gli amministratori ad aggiungere codici PHP personalizzati senza modificare il file functions.php file. Secondo il suo Pagina WordPress.orgil plugin è relativamente nuovo nel regno dei plugin WP, con solo oltre 200 installazioni.
Con così poche installazioni, il plugin non sembra redditizio per condurre attacchi su larga scala ai siti WordPress. Tuttavia, sembra che gli autori delle minacce che hanno abusato di questo plugin non fossero realmente preoccupati di espandere il proprio raggio d'azione. Invece, sembravano più interessati a restare a lungo nascosti dal radar.
Elaborando l'abuso del plugin, i ricercatori di Sucuri hanno notato l'abuso del plugin l'11 maggio 2024, con un simultaneo aumento dei download. L'analisi del codice del plug-in li ha portati a svelare un malware di skimming oscurato. Come dichiarato,
Questo codice dannoso è stato salvato nel file
dnsp_settingsopzione in WordPresswp_optionstable ed è stato progettato per modificare il processo di pagamento in WooCommerce manipolando il modulo di fatturazione e inserendo il proprio codice.
Analizzando ulteriormente, i ricercatori hanno notato due blocchi nel malware: uno con un nome generico e una funzione fasulla twentytwenty_get_post_logos()e l'altro colpevole che in realtà ruba i dati. Questa funzione apparentemente fasulla funge da gancio per woocommerce_after_checkout_billing_forme aggiunge più campi nei moduli di pagamento per aggiungere i dettagli della carta di pagamento (che altrimenti apparirebbero nella pagina successiva). Dopo aver ottenuto i dati desiderati, il codice li esporta poi tutti su un URL di terze parti.
Per eludere il rilevamento, l'overlay di checkout falso non ha la funzione di completamento automatico abilitata, in modo da impedire ai browser di generare avvisi sull'immissione di informazioni sensibili.
Mantieni i tuoi siti al sicuro con precauzioni
Anche se lo sfruttamento dei plugin di WordPress, come nel caso del plugin Dessky Snippets, sembra inevitabile, gli utenti possono comunque prevenire in larga misura le minacce implementando migliori pratiche di sicurezza.
Sucuri consiglia agli utenti di mantenere aggiornati i propri siti con le ultime versioni di plug-in, integrare script di terze parti solo da fonti attendibili, impostare password complesse per tutti gli account, implementare firewall per app Web (WAF) ed eseguire scansioni regolari del sito per codici dannosi.
Allo stesso modo, gli utenti che visitano gli e-store dovrebbero anche garantire l'autenticità del sito e cercare eventuali modifiche sottili nel layout del sito relative alle informazioni di pagamento. Inoltre, da tenere d'occhio estratti conto bancari e rapporti di credito può anche aiutare a rilevare eventuali attività dannose in tempo e prevenire possibili danni.
Fateci sapere che ne pensate nei commenti.