Раньше такие атаки чаще связывали с заражением самого сайта или взломом админки. Теперь злоумышленники всё чаще бьют по цепочке оплаты: хватает одной дыры в плагине, и на странице оформления заказа уже работает чужой JavaScript.
Что произошло
В WordPress-плагине Funnel Builder нашли критическую уязвимость, которую уже используют в атаках. Проблема затронула все версии до 3.15.0.3, а сам плагин установлен более чем на 40 тыс. сайтов.
Funnel Builder используют для настройки страниц оформления заказа в WooCommerce: добавляют дополнительные предложения, лендинги и другие элементы, которые помогают продавать больше. Именно поэтому сбой оказался опасным не только для владельцев сайтов, но и для покупателей, которые вводят платёжные данные на заражённых страницах.
Как работала атака
По данным компании Sansec, вредоносный код маскировали под скрипт Google Tag Manager или Google Analytics. На деле он загружал JavaScript с внешнего адреса и открывал WebSocket-соединение с удалённым сервером.
Атакующий использовал незащищённый общедоступный endpoint страницы оформления заказа, чтобы изменить глобальные настройки плагина. После этого в поле „External Scripts“ подставлялся чужой код, и он запускался на каждой странице оплаты.
Такой сценарий удобен для кражи платёжных данных: скрипт незаметно перехватывает данные карты, биллинг-адрес и другую информацию, которую покупатель вводит при оформлении заказа. По сути, сайт продолжает работать как обычно, а утекают уже введённые сведения.
Подобные инциденты уже приходилось разбирать на примерах атак на WordPress-сайты через плагины и срывов из-за критических ошибок в сетевой инфраструктуре — логика одна: уязвимость в одном компоненте быстро превращается в проблему для всей системы.
Кого затронуло и чем это грозит
В зоне риска оказались владельцы магазинов на WordPress с установленным Funnel Builder, особенно если они не обновляли плагин вовремя. Для бизнеса это означает прямые потери: кражу реквизитов карт клиентов, жалобы, возвраты и удар по репутации.
Для покупателей последствия тоже неприятные. Украденные данные карт могут использовать для мошеннических покупок, а записи с такими данными нередко уходят на подпольные площадки для дальнейшей перепродажи.
Разработчик уже выпустил исправление в версии 3.15.0.3 и подтвердил факт вредоносной активности. В уведомлении компании сказано, что злоумышленники смогли внедрить скрипты в настройки плагина.
Что делать владельцам сайтов и обычным пользователям
Если у вас магазин на WordPress, проверьте версию Funnel Builder и обновите её до 3.15.0.3 или новее. После обновления стоит открыть настройки плагина и вручную проверить раздел Settings > Checkout > External Scripts на лишние записи.
Если на сайте есть платёжные формы, имеет смысл дополнительно просмотреть логи, сменить доступы у администраторов и включить контроль изменений в критичных настройках. Для сравнения с похожими кейсами полезно посмотреть, как компании закрывают дыры в WordPress-плагинах после атак — обновление почти всегда нужно делать без задержки.
Обычным покупателям здесь важно другое: если платёжная страница магазина ведёт себя странно, лучше не вводить карту повторно и проверить выписку по счёту. Если деньги списались без вашего ведома, сразу свяжитесь с банком.
Чек-лист
- Обновите Funnel Builder до версии 3.15.0.3 или новее.
- Проверьте Settings > Checkout > External Scripts на посторонний код.
- Смените пароли администратора и ограничьте число людей с доступом к сайту.
- Просмотрите логи на предмет подозрительных изменений в настройках плагина.
- Настройте уведомления о платежах и быстро проверяйте выписку по карте.
- Если нужен дополнительный слой защиты трафика на личных устройствах, рассмотрите шифрование соединения на своих устройствах как один из инструментов защиты от пассивного перехвата.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.