### Exploração Ativa do Plugin Funnel Builder Uma vulnerabilidade de segurança crítica que afeta o plugin **Funnel Builder** para WordPress está sob exploração ativa no mundo real para injetar código JavaScript malicioso em páginas de checkout do WooCommerce. O objetivo é roubar dados de pagamento. Os detalhes da atividade foram publicados pela **Sansec** esta semana. A vulnerabilidade atualmente não possui um identificador **CVE** oficial. Ela afeta todas as versões do plugin anteriores à 3.15.0.3 e impacta mais de 40.000 lojas WooCommerce. ### Injeção de JavaScript Não Autenticada A falha permite que atacantes não autenticados injetem JavaScript arbitrário em todas as páginas de checkout da loja, de acordo com a empresa holandesa de segurança de e-commerce. O **FunnelKit**, que mantém o Funnel Builder, lançou um patch para a vulnerabilidade na versão 3.15.0.3. "Os atacantes estão plantando scripts falsos do **Google Tag Manager** na configuração 'External Scripts' do plugin", observou a **Sansec**. "O código injetado se parece com análises comuns ao lado das tags reais da loja, mas carrega um skimmer de pagamento que rouba números de cartão de crédito, CVVs e endereços de faturamento do checkout." ### Detalhes Técnicos da Vulnerabilidade De acordo com a **Sansec**, o Funnel Builder inclui um endpoint de checkout publicamente exposto que permite que uma solicitação de entrada escolha o tipo de método interno a ser executado. No entanto, versões mais antigas foram projetadas de forma que nunca verificavam as permissões do chamador ou limitavam quais métodos podiam ser invocados. Os atacantes exploram essa brecha emitindo uma solicitação não autenticada que pode alcançar um método interno não especificado. Esse método grava dados controlados pelo atacante diretamente nas configurações globais do plugin. O trecho de código adicionado é então injetado em todas as páginas de checkout do Funnel Builder. Como resultado, um atacante pode plantar uma tag `<script>` maliciosa que é acionada em todas as transações de checkout em um site WordPress suscetível. ### Implementação do Skimmer Em pelo menos um caso, a **Sansec** observou um payload disfarçado de carregador do **Google Tag Manager** (GTM) para lançar JavaScript hospedado em um domínio remoto. Subsequentemente, ele abre uma conexão WebSocket com o servidor de comando e controle (C2) do atacante (`wss://protect-wss[.]com/ws`) para recuperar um skimmer que é adaptado à loja da vítima. O objetivo final do ataque é roubar números de cartão de crédito, CVVs, endereços de faturamento e outras informações pessoais inseridas pelos visitantes do site no checkout. Os proprietários de sites são aconselhados a atualizar o plugin Funnel Builder para a versão mais recente e revisar `Configurações > Checkout > Scripts Externos` em busca de algo incomum, removendo quaisquer entradas suspeitas. "Vestir skimmers como código do Google Analytics ou Tag Manager é um padrão recorrente do Magecart, pois os revisores tendem a passar direto por qualquer coisa que pareça uma tag de rastreamento familiar", disse a **Sansec**. ### Campanha de Backdoor no Joomla A divulgação ocorre semanas após a **Sucuri** detalhar uma campanha em que sites Joomla estão sendo infectados com código PHP fortemente ofuscado. Esse código contata servidores C2 controlados por atacantes, recebe e processa instruções enviadas pelos operadores, e serve conteúdo spam para visitantes e mecanismos de busca sem o conhecimento do proprietário do site. O objetivo final é alavancar a reputação dos sites para injeção de spam. "O script atua como um carregador remoto", disse a pesquisadora de segurança Puja Srivastava. "Ele contata um servidor externo, envia informações sobre o site infectado e espera por instruções. A resposta do servidor remoto determina qual conteúdo o site infectado deve servir." "Essa abordagem permite que os atacantes alterem o comportamento do site comprometido a qualquer momento sem modificar os arquivos locais novamente. O atacante pode injetar links de produtos spam, redirecionar visitantes ou exibir páginas maliciosas dinamicamente."