Chiến dịch này do Sucuri theo dõi ngày 11/5/2024. Chiến dịch lạm dụng một plugin WordPress có tên Dessky Snippets, cho phép người dùng thêm mã PHP tùy chỉnh, nó có hơn 200 cài đặt hoạt động.
Các cuộc tấn công lợi dụng các lỗ hổng đã biết trong plugin WordPress hoặc thông tin xác thực dễ đoán để giành quyền truy cập của quản trị viên và cài đặt các plugin khác (hợp pháp hoặc cách khác) để sau khi khai thác.
Sucuri cho biết plugin Dessky Snippets được sử dụng để chèn phần mềm độc hại đọc lướt thẻ tín dụng PHP phía máy chủ vào các trang web bị xâm nhập và đánh cắp dữ liệu tài chính.
Nhà nghiên cứu bảo mật Ben Martin cho biết: “Mã độc hại này đã được lưu trong tùy chọn dnsp_settings trong bảng wp_options của WordPress và được thiết kế để sửa đổi quy trình thanh toán trong WooC Commerce bằng cách thao tác với biểu mẫu thanh toán và chèn mã riêng của nó”.
Cụ thể, nó được thiết kế để thêm một số trường mới vào biểu mẫu thanh toán yêu cầu chi tiết thẻ tín dụng, bao gồm tên, địa chỉ, số thẻ tín dụng, ngày hết hạn và số Giá trị xác minh thẻ (CVV), sau đó được lọc sang URL "hxxps: //2of[.]cc/wp-content/."
Một khía cạnh đáng chú ý của chiến dịch là biểu mẫu thanh toán được liên kết với lớp phủ giả có thuộc tính tự động hoàn thành bị vô hiệu hóa (tức là tự động hoàn thành = "tắt").
Đây không phải là lần đầu tiên tin tặc sử dụng các plugin đoạn mã hợp pháp cho mục đích xấu. Tháng trước, công ty đã tiết lộ việc lạm dụng plugin đoạn mã WPCode để đưa mã JavaScript độc hại vào các trang web WordPress nhằm chuyển hướng khách truy cập trang web đến các miền VexTrio.
Một chiến dịch phần mềm độc hại khác có tên Sign1 đã bị phát hiện đã lây nhiễm hơn 39.000 trang web WordPress trong sáu tháng qua bằng cách sử dụng tính năng chèn JavaScript độc hại thông qua plugin JS và CSS tùy chỉnh đơn giản để chuyển hướng người dùng đến các trang web lừa đảo.
Chủ sở hữu trang web WordPress, đặc biệt là những trang cung cấp chức năng thương mại điện tử, nên cập nhật trang web và plugin của họ, sử dụng mật khẩu mạnh để ngăn chặn các cuộc tấn công và thường xuyên kiểm tra các trang web để tìm dấu hiệu phần mềm độc hại hoặc bất kỳ thay đổi trái phép nào.