Sites de compras que utilizam como base o WordPress estão sendo atacados por hackers, que se aproveitam de uma vulnerabilidade de um plugin do carrinho de compras para instalar portas de entrada para invasão desses sites.

O plugin em questão tem o nome de “Abandoned Cart Lite for WooCommerce” e serve para que os donos de sites saibam quais os produtos que foram abandonados nos carrinhos de compra por consumidores que saíram repentinamente do site, isso permite fazer um controle dos produtos mais populares.

Essa lista de carrinhos só pode ser acessada pelo administrador do site ou por alguém que tenha contas de alta permissão. De acordo a um relatório do pesquisador de segurança da empresa Defiant, Mikey Veenstra, os hackers estão utilizando a ferramenta para criar carrinhos de compra que contêm produtos com nomes malformados. Um código é adicionado no campos do carrinho e, em seguida, eles saem do site, fazendo com que o código malicioso seja adicionado ao banco de dados da loja.

Quando o administrador do sistema acessa as informações dos carrinhos, o código é executado em segundo plano, instalando duas “portas” de acesso para que o site possa ser invadido.

Quais as portas instaladas e o que elas fazem?

A primeira porta adiciona uma conta com privilégios de administrador. O novo usuário tem o nome de “woouser”, e sempre está registrado com o mesmo endereço de e-mail woouser401a@mailinator.com e a mesma senha “K1YPRka7b0av1B”.

A segunda, e a mais perigosa delas, é muito inteligente. O código malicioso lista os plugins que o site possui, e procura o primeiro que foi desativado pelo administrador. Após ser detectado, ele não é reativado, mas os hackers substituem seu código por um script mal-intencionado que abre uma porta no sistema para que ele seja invadido no futuro. A tática é utilizada para que os criminosos mantenham acesso ao site caso a conta “woouser” seja removida.

Ainda não se sabe exatamente as intenções dos criminosos, porém, com esse acesso, eles podem enviar spam de mensagens e até mesmo, instalar programas para roubo de informações de cartão de crédito.

Estima-se que o plugin tenha sido instalado em mais de 20 mil sites do WordPress. Uma atualização foi lançada no dia 18 de fevereiro para corrigir algumas dessas falhas. A recomendação da plataforma é que os usuários atualizem todos os seus plugins e revisem a lista de contas de administrador para verificar se não há nada de errado.

Via: Zdnet