Novo malware infecta sites WooCommerce

05/11/2025 mindsecblog Notícias 0

Novo malware infecta sites WooCommerce por meio de plugins falsos para roubar dados de cartão de crédito

Uma sofisticada campanha de malware está visando ativamente sites de comércio eletrônico WordPress usando o plugin WooCommerce, de acordo com descobertas recentes da Wordfence Threat Intelligence Team.

A campanha de malware, que emprega técnicas avançadas de evasão e estratégias de ataque multicamadas, disfarça-se como um plugin legítimo do WordPress enquanto rouba secretamente informações de cartão de crédito de compradores on-line desavisados.

O software malicioso se apresenta como um plugin do WordPress com nomes gerados aleatoriamente, tornando a detecção significativamente mais desafiadora para administradores de sites.

Exemplos de nomes de plugins incluem “license-user-kit,” “jwt-log-pro,” “cron-environment-advanced,” e “access-access-pro.”

Cada instalação apresenta nomes de funções aleatórios exclusivos e sequências de texto ofuscadas que ajudam o malware a contornar os métodos tradicionais de verificação de segurança.

A ameaça foi a primeira identificado quando um usuário do Wordfence enviou uma amostra abrangente de malware em 21 de agosto de 2025, levando ao desenvolvimento de quatro assinaturas de detecção que foram lançadas entre 27 de agosto e 9 de setembro de 2025.

Uma vez ativado em um site comprometido, o malware imediatamente se oculta da lista de plugins do WordPress para evitar a detecção pelos administradores do site.

Ele rastreia sistematicamente usuários com privilégios de edição registrando seus endereços IP e horários de login, armazenando essas informações em opções de banco de dados personalizadas e definindo cookies de rastreamento persistentes.

Este sofisticado sistema de monitoramento permite que o malware evite exibir seu código malicioso para usuários privilegiados, reduzindo significativamente a probabilidade de detecção precoce durante a manutenção de rotina do site ou verificações de segurança.

Infraestrutura de ataque multicamadas

A arquitetura do malware inclui várias camadas de funcionalidades maliciosas projetadas para garantir persistência e maximizar o roubo de dados.

Ele estabelece vários endpoints de backdoor baseados em AJAX que permitem que invasores atualizem remotamente a carga útil de clonagem do cartão de crédito ou executem código PHP arbitrário no servidor comprometido.

Desnatamento de cartão de crédito.
Desnatamento de cartão de crédito.

Esses backdoors utilizam autenticação baseada em cookies que ignora completamente WordPress mecanismos de segurança nativos, dando aos invasores acesso irrestrito para modificar o comportamento do malware em tempo real.

Um recurso particularmente preocupante é a capacidade de coleta de credenciais de login do malware. O sistema captura nomes de usuários e senhas à medida que os usuários os inserem, armazenando temporariamente as informações em cookies antes de exfiltrar os dados por meio de servidores externos de comando e controle.

Esse processo de duas etapas inclui dados básicos do usuário e do site em cada transmissão, fornecendo aos invasores informações abrangentes sobre sites comprometidos e seus administradores.

O malware armazena suas cargas JavaScript em arquivos de imagem PNG falsos para evitar a detecção por scanners de segurança.

Esses arquivos contêm códigos base64 invertidos e personalizados JavaScript código precedido por cabeçalhos PNG falsos, fazendo com que pareçam ativos de imagem legítimos para inspeção casual.

O sistema emprega três tipos distintos de carga útil: uma carga útil personalizada implantada através do backdoor, uma carga útil atualizada dinamicamente que é atualizada diariamente a partir de servidores de comando e controle e uma carga útil alternativa estática que garante que o skimmer permaneça operacional mesmo se as atualizações remotas falharem.

Operação de skimming de cartão de crédito

Quando os visitantes acessam as páginas de checkout do WooCommerce em sites infectados, o malware injeta automaticamente seu código de skimming JavaScript na página.

Quando um usuário envia o formulário de checkout, ele envia os dados capturados de volta para a mesma página do WordPress por meio de uma solicitação AJAX POST.

Solicitação AJAX POST.
Solicitação AJAX POST.

O skimmer incorpora um atraso de três segundos antes da ativação para evitar conflitos com formulários de checkout baseados em AJAX e inclui um sistema de validação de cartão de crédito falso projetado para aumentar a confiança do usuário ao inserir informações de pagamento.

Os ouvintes de eventos JavaScript monitoram os formulários de checkout em tempo real, interceptando números de cartão de crédito, datas de validade e códigos CVV à medida que os clientes concluem suas compras.

Os dados de pagamento roubados são exfiltrados através de vários métodos redundantes para garantir uma transmissão bem-sucedida, independentemente da configuração do servidor.

O malware primeiro tenta enviar dados usando solicitações cURL padrão e depois retorna à função file_get_contents do PHP, se necessário. Se ambos os métodos falharem, ele tenta a execução do cURL em nível de sistema e, como backup final, envia as informações roubadas por e-mail simples.

Essa abordagem multicamadas demonstra a compreensão sofisticada dos agentes de ameaças’ de vários ambientes de hospedagem e sua determinação em extrair dados roubados com sucesso.

Pesquisadores de segurança identificaram fortes evidências ligando esta campanha aos agentes de ameaças do Magecart Group 12 por meio do identificador “SMILODON” encontrado nas URLs dos servidores de comando e controle.

Essa conexão, observada desde 2021, é apoiada por padrões de codificação, escolhas de infraestrutura e endereços de e-mail correspondentes aos anteriormente associados às operações de phishing e skimming do grupo. Os domínios envolvidos estão hospedados no endereço IP 121.127.33.229, que foi conectado a diversas campanhas anteriores atribuídas a esse agente de ameaça.

Todos os clientes do Wordfence Premium, Care e Response receberam assinaturas de detecção de malware imediatamente após o lançamento, enquanto os usuários de versões gratuitas receberam a mesma proteção após um atraso padrão de 30 dias.

É altamente recomendável que os proprietários de sites verifiquem suas instalações imediatamente, principalmente aqueles que executam o WooCommerce, e permaneçam atentos a instalações suspeitas de plugins com nomes gerados aleatoriamente.

O banco de dados Wordfence Threat Intelligence agora contém mais de 4,4 milhões de amostras maliciosas exclusivas, com taxas de detecção superiores a 99% ao usar conjuntos de assinaturas premium.

Fonte: GBHackers

Veja também:

About mindsecblog 3307 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

LGPD & PRIVACY

Plataforma Meu Vivo expõe dados de milhões de clientes

07/11/2019 mindsecblog LGPD & PRIVACY, Notícias 3

Plataforma Meu Vivo expõe dados de milhões de clientes. Operadora não informa o número de vítimas, mas a plataforma ficou inoperante durante parte do dia. A operadora Vivo admitiu na tarde desta terça-feira (05 de novembro) […]

Artigos

ChatGPT precisa de regulação para maior segurança

18/05/2023 mindsecblog Artigos, Notícias 4

ChatGPT precisa de regulação para maior segurança e evolução tecnológica e tem despertado curiosidade e necessidade de aprofundamento.  Visto como evolução sem precedentes por uns e risco à humanidade por outros, a chegada do ChatGPT […]

Notícias

Interrupções por violações de dados aumentam os custos de ciber

30/09/2024 mindsecblog Notícias 1

Interrupções por violações de dados aumentam os custos de ciber. Relatório da IBM: as crescentes interrupções nos negócios pelas violações de dados aumentam os custos de cibersegurança no Brasil O custo médio das violações de […]

Be the first to comment

Deixe sua opinião!