Um erro crítico no plugin Funnel Builder (FunnelKit) para o WordPress está sendo explorado em ambientes reais para injetar JavaScript malicioso nas páginas de pagamento do WooCommerce e roubar dados de cartão e faturamento, de acordo com a análise publicada esta semana pela assinatura de segurança Sansec. O defeito afecta todas as versões anteriores à 3.15.0.3 e a sua exploração permite a atores não autenticados adicionar código arbitrário executado em cada checkout, o que torna qualquer loja vulnerável em um objetivo direto para skimmers de pagamento.
A técnica descrita pelos pesquisadores aproveita um endpoint público norteado ao checkout que, em versões antigas, não verificava permissões nem limitava quais métodos internos poderiam se invocar. Através de um pedido não autenticado, um atacante pode forçar a escrita de dados controlados pelo atacante nos ajustes globais do plugin e assim inserir marcas de script na opção que o Funnel Builder usa para "External Scripts". Nos incidentes observados, o payload passa por um Google Tag Manager/Analytics e acaba carregando um loader remoto que abre uma conexão WebSocket ao servidor de comando e controle para baixar um skimmer específico para a loja comprometida.
A consequência prática é grave: o código malicioso é executado no fluxo de pagamento e pode capturar números de cartão, CVV, endereços de faturamento e outros dados sensíveis que os clientes introduzem no formulário de checkout. Isto não significa apenas uma fraude directa, mas um risco de sanções por incumprimento do PCI e um dano reputacional que pode perdurar.
O FunnelKit já publicou um adesivo na versão 3.15.0.3. Se você administra uma loja WooCommerce você deve atualizar imediata e prioritariamente Esse plugin à versão adesivo. Além da atualização, convém verificar o ajuste Settings > Checkout > External Scripts e remover qualquer programa desconhecido ou suspeito. Sansec e outros equipamentos de resposta indicam que os skimmers costumam camuflar-se como rótulos de seguimento legítimos, pelo que é fácil ignorar o risco durante auditorias superficiais.
Além de atualizar e revisar a configuração, há medidas práticas que reduzem o impacto e ajudam a remediação. Realiza uma digitalização completa do site com soluções de segurança de confiança ou serviços externos para detectar cargas maliciosas e portas traseiras; revisa a base de dados — por exemplo, procurando valores em wp_options que contenham etiquetas <script> ou domínios desconhecidos; inspecione o resultado do checkout do navegador e as ferramentas de rede para detectar conexões WebSocket ou chamadas a domínios externos suspeitos; e restabelece senhas administrativas e chaves API se você encontrar indícios de compromisso.
Se já suspeitar que houve ex-filtração de dados, documenta a janela temporária do possível compromisso, conserva logs, contacta o seu fornecedor de pagamentos e valoriza o incidente de acordo com as obrigações legais aplicáveis. Para reduzir a probabilidade de futuras intrusões é recomendável limitar os plugins instalados aos estritamente necessários, manter atualizações automáticas onde seja seguro aplicá-las, e reforçar a web com um WAF e um sistema de monitoramento contínuo que detecte alterações na integridade de arquivos e na saída HTML do checkout.
Este caso se encaixa numa tendência mais ampla: campanhas recentes mostram como atacantes inserem carga útil dinâmica e loaders remotos em CMS e lojas para mudar o comportamento dos sítios comprometidos sem tocar permanentemente os arquivos locais, uma técnica que Sucuri e outras assinaturas vêm documentando em contextos como campanhas contra Joomla e outros ecossistemas. A tática de disfarçar skimmers como Google Tag Manager ou Google Analytics é recorrente e efetiva por sua capacidade de passar desapercibida.
Para ler a análise técnica e as indicações originais consulta as fontes de segurança especializadas; a pesquisa de Sansec oferece detalhes técnicos sobre a exploração, e os relatórios de resposta de incidentes como os de Sucuri ajudam a entender padrões semelhantes em outros CMS. Sansec e Sucuri São bons pontos de partida para informação e recomendações operacionais. Se você precisa de instruções gerais sobre como manter o WordPress e seus plugins atualizados, a documentação oficial do WordPress também é útil: Administração de plugins no WordPress.
Resumo prático: atualiza Funnel Builder à versão 3.15.0.3 ou superior, revisa e limpa a opção External Scripts em Checkout, escanea e investiga indicadores de compromisso (scripts incomuns, conexões WebSocket a domínios desconhecidos, entradas suspeitas em wp_options), rota credenciais sensíveis e coordena com seu processador de pagamentos se houver sinais de exfiltração. A prevenção e a detecção precoce são a melhor defesa contra este tipo de skimmers dirigidos a lojas online.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...