Gli attacchi informatici continuano a evolversi, con i malintenzionati che trovano nuovi modi per iniettare malware nei siti web soprattutto per fare da Skimmer ed acquisire dati bancari e, recentemente, un caso ha visto l’uso di un plugin PHP poco conosciuto per WordPress per installare malware lato server destinato a raccogliere dettagli delle carte di credito da un negozio online WooCommerce.

Utilizzo del Plugin Dessky Snippets per Aggiungere PHP Dannoso

È comune per gli attaccanti sfruttare plugin di WordPress che consentono di aggiungere o manipolare codice nei siti web delle vittime. In questo caso, è stato usato un plugin molto poco diffuso chiamato Dessky Snippets, con poche centinaia di installazioni attive al momento della scoperta. Gli attacchi hanno preso di mira questo plugin per inserire malware PHP che manipola il processo di checkout di WooCommerce.

Analisi del Malware

Il malware è stato trovato nascosto sotto il commento iniziale */ Enter Your PHP Code Here */**, con diverse righe vuote per evitare che il proprietario del sito notasse il codice dannoso. Questo codice, salvato nell’opzione dnsp_settings nella tabella wp_options di WordPress, è progettato per modificare il processo di checkout in WooCommerce, aggiungendo campi che richiedono i dettagli della carta di credito.

Il malware ha due principali blocchi offuscati:

1. Una funzione fasulla chiamata twentytwenty_get_post_logos().
2. Codice offuscato che ruba i dettagli di pagamento.

Una volta deoffuscato e migliorato, si può vedere che la funzione twentytwenty_get_post_logos aggiunge nuovi campi al modulo di fatturazione che richiedono i dettagli della carta di credito. Il resto del codice viene eseguito a ogni caricamento della pagina, monitorando i dati POST per i parametri correlati ai campi del modulo iniettato e inviando i dettagli della carta di credito a un URL di terze parti.

Tecniche di Evasione

Per ridurre la possibilità che il browser avvisi l’utente che stanno inserendo informazioni sensibili, i campi del modulo falso hanno l’autocompletamento disabilitato con autocomplete=”off”. Questo fa sì che i campi appaiano vuoti finché non vengono riempiti manualmente dall’utente, riducendo i sospetti.

Sicurezza del Sito di Ecommerce

I proprietari di siti web devono adottare misure per proteggere i loro siti dagli attacchi, in particolare quelli che gestiscono informazioni sensibili come i dettagli di pagamento. Ecco alcune linee guida per proteggere il tuo negozio online:

1. Mantieni il software aggiornato: Aggiorna regolarmente il CMS, i plugin, i temi e i componenti di terze parti.
2. Usa password forti: Assicurati che tutti gli account abbiano password forti e uniche.
3. Seleziona script fidati: Integra solo JavaScript di terze parti da fonti affidabili.
4. Monitora le minacce: Controlla regolarmente il sito per segni di malware o modifiche non autorizzate.
5. Implementa un firewall: Utilizza un firewall per applicazioni web per bloccare bot dannosi e vulnerabilità note.
6. Configura una CSP: Stabilisci una Content Security Policy per proteggere contro clickjacking, XSS e altre minacce.

Gli utenti dei siti web, secondo Sucuri, dovrebbero considerare l’uso di estensioni per il blocco degli script come NoScript e mantenere software antivirus robusti per rilevare eventuali attacchi in corso.