🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão explorando ativamente uma falha crítica de segurança no Everest Forms Pro, um plugin do WordPress com cerca de 4.000 instalações ativas, para executar código arbitrário, levando ao comprometimento total do site.
A vulnerabilidade em questão é CVE-2026-3300 (pontuação CVSS: 9.8), um bug de execução remota de código que afeta todas as versões do plugin até 1.9.12, inclusive. Um patch para a falha foi lançado em 18 de março de 2026, com a versão 1.9.13.
“Isso se deve à função process_filter() do complemento de cálculo que concatena valores de campo de formulário enviados pelo usuário em uma string de código PHP sem o escape adequado antes de passá-lo para eval()”, disse Wordfence.
"A função sanitize_text_field() aplicada à entrada não escapa de aspas simples ou outros caracteres de contexto de código PHP. Isso possibilita que invasores não autenticados injetem e executem código PHP arbitrário no servidor, enviando um valor criado em qualquer campo de formulário do tipo string (texto, e-mail, URL, seleção, rádio) quando um formulário usa o recurso 'Cálculo Complexo'."
A exploração bem-sucedida da vulnerabilidade poderia permitir que atores mal-intencionados não autenticados executassem código PHP arbitrário no servidor, permitindo-lhes criar contas de administrador não autorizadas, implantar shells da web e abrir outras maneiras de se aprofundar no servidor e estabelecer pontos de apoio persistentes.
De acordo com a empresa de segurança WordPress, foram observados invasores explorando a falha a partir de 13 de abril de 2026. Mais de 29.300 tentativas de exploração visando o defeito foram bloqueadas até o momento. Destes, 16 tentativas de ataque ocorreram nas últimas 24 horas. A carga útil mais comum envolve tentativas de criar uma conta de administrador chamada "diksimarina" (endereço de e-mail: diksimarina@gmail.com) no site comprometido.
Esses esforços de ataque originaram-se dos seguintes endereços IP -
202.56.2.126
209.146.60.26
15.235.166.18
2402:1f00:8000:800::40db
185.78.165.153
Skimmer ataca Exploit Stripe para C2
A divulgação ocorre no momento em que a Sansec alerta sobre várias campanhas de skimmer, incluindo uma que usa Stripe como um servidor de comando e controle (C2) e um coletor de exfiltração de dados em uma tentativa de explorar a reputação da marca e escapar das regras da Política de Segurança de Conteúdo e dos filtros de rede.
“O invasor trata o Stripe como uma infraestrutura gratuita, não como uma forma de lavar taxas”, observou Sansec. “O Stripe fornece a eles um banco de dados gravável para cartões roubados e um endpoint de hospedagem de código para o skimmer, ambos atrás de um domínio no qual as regras do CSP e os filtros de rede confiam por padrão.”
A campanha depende dos domínios Google Tag Manager (GTM) e Stripe – googletagmanager.com e api.stripe.com – que são implicitamente confiáveis pelas lojas online, com o código malicioso carregado de um contêiner GTM e executado em cada página que o carrega.
Nas páginas de checkout do Magento e Adobe Commerce, ele extrai um skimmer ofuscado do campo de metadados de uma conta de cliente Stripe ("cus_TfFjAAZQNOYENR", neste caso) e salva as informações financeiras, endereços de cobrança e e-mail e números de telefone inseridos por usuários desavisados no localStorage. Os dados capturados são então exfiltrados de volta para a conta Stripe do invasor.
“Cada cartão roubado torna-se um ‘cliente’ na conta do invasor”, disse a empresa de segurança de comércio eletrônico. "Em caso de sucesso, o carregador exclui a entrada localStorage, para que o mesmo registro não seja enviado duas vezes. O invasor lista seus cartões roubados posteriormente, chamando a mesma API com a mesma chave. O banco de dados de clientes do Stripe se torna um coletor de exfiltração gratuito e durável."
O registro do cliente Stripe contendo o skimmer teria sido criado em 24 de dezembro de 2025, indicando que a operação pode estar ativa desde então. A Sansec disse que também identificou uma segunda variante do carregador que usa o Google Firestore em vez do Stripe, embora o objetivo final seja o mesmo: abusar de um serviço confiável como um canal secreto que provavelmente não será bloqueado por lojas de comércio eletrônico.
As descobertas coincidem com uma operação em grande escala chamada GorgonAgora, que utilizou um conjunto de 5.714 lojas .shop falsas, representando marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota, cujas páginas de checkout canalizam dados de cartões roubados para um único servidor skimmer na Moldávia. A campanha está em andamento desde agosto de 2025.
“Cada loja executa a mesma pilha de comércio Medusa.js e carrega o mesmo SDK de checkout personalizado, que renderiza um iframe Stripe falso e exfiltra os dados do cartão por meio de um WebSocket criptografado para um único servidor na Moldávia”, disse a empresa holandesa.
“A exfiltração é executada no WebSocket com uma carga útil AES-256-GCM, e o C2 mantém uma retransmissão 3D Secure ao vivo: quando o banco da vítima retorna um desafio 3DS, o operador o envia de volta ao comprador por meio do iframe falso para que a transação seja concluída e o roubo permaneça invisível.
A vulnerabilidade em questão é CVE-2026-3300 (pontuação CVSS: 9.8), um bug de execução remota de código que afeta todas as versões do plugin até 1.9.12, inclusive. Um patch para a falha foi lançado em 18 de março de 2026, com a versão 1.9.13.
“Isso se deve à função process_filter() do complemento de cálculo que concatena valores de campo de formulário enviados pelo usuário em uma string de código PHP sem o escape adequado antes de passá-lo para eval()”, disse Wordfence.
"A função sanitize_text_field() aplicada à entrada não escapa de aspas simples ou outros caracteres de contexto de código PHP. Isso possibilita que invasores não autenticados injetem e executem código PHP arbitrário no servidor, enviando um valor criado em qualquer campo de formulário do tipo string (texto, e-mail, URL, seleção, rádio) quando um formulário usa o recurso 'Cálculo Complexo'."
A exploração bem-sucedida da vulnerabilidade poderia permitir que atores mal-intencionados não autenticados executassem código PHP arbitrário no servidor, permitindo-lhes criar contas de administrador não autorizadas, implantar shells da web e abrir outras maneiras de se aprofundar no servidor e estabelecer pontos de apoio persistentes.
De acordo com a empresa de segurança WordPress, foram observados invasores explorando a falha a partir de 13 de abril de 2026. Mais de 29.300 tentativas de exploração visando o defeito foram bloqueadas até o momento. Destes, 16 tentativas de ataque ocorreram nas últimas 24 horas. A carga útil mais comum envolve tentativas de criar uma conta de administrador chamada "diksimarina" (endereço de e-mail: diksimarina@gmail.com) no site comprometido.
Esses esforços de ataque originaram-se dos seguintes endereços IP -
202.56.2.126
209.146.60.26
15.235.166.18
2402:1f00:8000:800::40db
185.78.165.153
Skimmer ataca Exploit Stripe para C2
A divulgação ocorre no momento em que a Sansec alerta sobre várias campanhas de skimmer, incluindo uma que usa Stripe como um servidor de comando e controle (C2) e um coletor de exfiltração de dados em uma tentativa de explorar a reputação da marca e escapar das regras da Política de Segurança de Conteúdo e dos filtros de rede.
“O invasor trata o Stripe como uma infraestrutura gratuita, não como uma forma de lavar taxas”, observou Sansec. “O Stripe fornece a eles um banco de dados gravável para cartões roubados e um endpoint de hospedagem de código para o skimmer, ambos atrás de um domínio no qual as regras do CSP e os filtros de rede confiam por padrão.”
A campanha depende dos domínios Google Tag Manager (GTM) e Stripe – googletagmanager.com e api.stripe.com – que são implicitamente confiáveis pelas lojas online, com o código malicioso carregado de um contêiner GTM e executado em cada página que o carrega.
Nas páginas de checkout do Magento e Adobe Commerce, ele extrai um skimmer ofuscado do campo de metadados de uma conta de cliente Stripe ("cus_TfFjAAZQNOYENR", neste caso) e salva as informações financeiras, endereços de cobrança e e-mail e números de telefone inseridos por usuários desavisados no localStorage. Os dados capturados são então exfiltrados de volta para a conta Stripe do invasor.
“Cada cartão roubado torna-se um ‘cliente’ na conta do invasor”, disse a empresa de segurança de comércio eletrônico. "Em caso de sucesso, o carregador exclui a entrada localStorage, para que o mesmo registro não seja enviado duas vezes. O invasor lista seus cartões roubados posteriormente, chamando a mesma API com a mesma chave. O banco de dados de clientes do Stripe se torna um coletor de exfiltração gratuito e durável."
O registro do cliente Stripe contendo o skimmer teria sido criado em 24 de dezembro de 2025, indicando que a operação pode estar ativa desde então. A Sansec disse que também identificou uma segunda variante do carregador que usa o Google Firestore em vez do Stripe, embora o objetivo final seja o mesmo: abusar de um serviço confiável como um canal secreto que provavelmente não será bloqueado por lojas de comércio eletrônico.
As descobertas coincidem com uma operação em grande escala chamada GorgonAgora, que utilizou um conjunto de 5.714 lojas .shop falsas, representando marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota, cujas páginas de checkout canalizam dados de cartões roubados para um único servidor skimmer na Moldávia. A campanha está em andamento desde agosto de 2025.
“Cada loja executa a mesma pilha de comércio Medusa.js e carrega o mesmo SDK de checkout personalizado, que renderiza um iframe Stripe falso e exfiltra os dados do cartão por meio de um WebSocket criptografado para um único servidor na Moldávia”, disse a empresa holandesa.
“A exfiltração é executada no WebSocket com uma carga útil AES-256-GCM, e o C2 mantém uma retransmissão 3D Secure ao vivo: quando o banco da vítima retorna um desafio 3DS, o operador o envia de volta ao comprador por meio do iframe falso para que a transação seja concluída e o roubo permaneça invisível.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #exploram #falha #crítica #do #plugin #wordpress #do #everest #forms #pro #para #assumir #o #controle #de #sites
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário