Os swipers de cartão de crédito encontraram uma maneira difícil de detectar dos sites WordPress que usam o plug-in WooCommerce, modificando secretamente arquivos JavaScript legítimos.
A Web Sucuri foi chamada para investigar um ataque recente a um site que sofreu uma misteriosa onda de fraude de cartão de crédito.
Nada fazia sentido até que a Sucuri executou uma verificação de integridade dos arquivos (comparando os arquivos presentes com um estado padrão conhecido) e ficou claro que os invasores ocultaram códigos maliciosos em JavaScript dentro de um arquivo do sistema.
Isso é incomum, porque a maioria dos ataques aos sistemas de comércio eletrônico envolve a adição de código no final de um arquivo, uma técnica que é eficaz, mas mais fácil para os defensores identificarem.
Quando se trata de ataques a sites de comércio eletrônico menores, também é mais fácil alterar os detalhes de pagamento, encaminhando fundos para uma conta mal-intencionada. Nesse incidente, os atacantes se deram ao trabalho de esconder suas pistas, aparentemente até limpando os dados roubados que foram armazenados em cache no site após o ataque. A pista mais significativa no WordPress CMS foi que um arquivo PHP foi adicionado para garantir o carregamento do código malicioso. A questão importante é como os invasores entraram no site em primeiro lugar. Infelizmente, isso não ficou claro, embora a rota mais provável seja o comprometimento da conta de administrador ou a exploração de uma vulnerabilidade de software no WordPress ou no WooCommerce. Ben Martin, da Sucuri, alertou que, embora esse tipo de ataque ao WooCommerce ainda seja a exceção, não é a única vez que ele o vê.
Os ataques à sites de comércio eletrônico se tornaram um grande problema nos últimos três anos com várias grandes empresas que usam a plataforma Magento, sendo atingidas por um equipamento de malware chamado Magecart, que rendeu enormes somas. O objetivo desse tipo de ataque é explorar uma fraqueza de segurança para ocultar códigos maliciosos nos sistemas de pagamentos, capturando os detalhes do cartão de crédito à medida que os clientes os inserem. Os clientes obtêm os produtos ou serviços pelos quais pagaram, enquanto em segundo plano os criminosos capturaram os dados necessários para cometer uma fraude no cartão. Esses ataques geralmente não são detectados até que as vítimas do cartão se queixem, o que parece ser o que aconteceu no caso documentado por Sucuri. Apesar de sua popularidade crescente, o plugin WooCommerce de código-fonte aberto evitou o pior disso, talvez porque seja usado por sites menores vistos como pequenos alevinos. Talvez isso esteja mudando agora. Fica claro que todas as lojas de comércio eletrônico precisam de uma defesa cuidadosa. No caso do WooCommerce, isso inclui alterar o nome de usuário padrão do WordPress de admin para algo que os invasores acharão difícil de adivinhar, além de usar uma senha forte. Além de configurações de segurança mais específicas, como limitar tentativas de login e usar autenticação de dois fatores. Também é essencial manter os plugins WordPress e WooCommerce atualizados. Martin da Sucuri também recomenda: Desative a edição direta de arquivos para o wp-admin adicionando a seguinte linha ao seu arquivo wp-config.php: define ('DISALLOW_FILE_EDIT', true);