Autor: Puja Srivastava
Frequentemente escrevemos sobre malware que rouba informações de pagamento de sites criados com Magento e outros tipos de CMS de comércio eletrônico. No entanto, o WordPress também se tornou um grande player no comércio eletrônico, graças à adoção do Woocommerce e outros plug-ins que podem facilmente transformar um site WordPress em uma loja online completa. Essa popularidade também torna as lojas WordPress um alvo principal – e os invasores estão modificando seu malware de comércio eletrônico MageCart para atingir uma gama mais ampla de plataformas CMS.
Vamos olhar mais de perto!
O proprietário de um site estava reclamando de redirecionamentos suspeitos em seu site, então iniciamos nossa investigação para descobrir o que estava acontecendo.
A inspeção dos arquivos do site revelou o seguinte código em ./wp-content/uploads/custom-css-js/134019.js que estava sendo injetado na parte inferior da página da web:
Quando decodificado, o verdadeiro comportamento foi revelado:
O objetivo deste snippet, que contém código JavaScript ofuscado e codificação base64 para evitar a detecção, é carregar um script malicioso de: wss://jqueurystatics[.]com:8001
Quando carregado na página da web, ele busca e executa o script malicioso, o que pode levar a diversas atividades maliciosas, como fraude de cartão de crédito e roubo de dados, acesso não autorizado ou implantação adicional de malware. Para enganar ainda mais qualquer desenvolvedor curioso e evitar a detecção, o snippet usa nomes de funções e arquivos como GoogleAnalyticsObjects e Analytics.js . Embora claramente finja ser um script do Google Analytics, isso é apenas uma distração da verdadeira natureza do JavaScript de skimming de cartão de crédito – e uma tática muito comum usada por invasores.
Em setembro de 2023, encontramos o seguinte código injetado na tabela core_config_data de um site Magento que recebeu reclamações de clientes sobre comportamento suspeito e transações fraudulentas em seu site:
Aqui, o valor dentro do primeiro atob() é um dado codificado em Base64 que é decodificado para “ checkout ” enquanto o segundo atob() decodifica para um domínio malicioso: sanzsec[.]net/generator/
Este código JavaScript verifica se o URL atual contém a string decodificada “checkout”. Nesse caso, ele cria dinamicamente um novo elemento de script e define seu atributo de origem como “ hxxps://sanzsec[.]net/generator/ “. Por fim, ele anexa esse novo elemento de script ao cabeçalho do documento, que carrega e executa o script dessa URL.
Este malware tem diversas variantes que afetaram sites WordPress e Magento no ano passado, incluindo esta variação proeminente que infectou 89 sites até o momento em que este artigo foi escrito. Esta outra versão infectou 10 sites.
Os domínios usados para buscar dados maliciosos em 2023 foram:
No entanto, as variantes mais recentes do Magento Shoplift que afetam o WordPress começaram a buscar scripts em jqueurystatics[.]com .
O SiteCheck detecta este malware como malware.magento_shoplift?71.5 :
Para manter seu site protegido contra Magento Shoplift e outros malwares de comércio eletrônico MageCart , é importante proteger seu site com tantas camadas de segurança quanto possível:
Também é uma boa ideia verificar se há problemas de segurança em seu site e manter-se atualizado sobre as novidades de segurança.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…