Um erro crítico no plugin Funnel Builder (FunnelKit) para o WordPress, usado para personalizar páginas de pagamento do WooCommerce, está sendo explorado em liberdade para inserir fragmentos de JavaScript malicioso nos checkout e com isso roubar dados de pagamento de clientes. A vulnerabilidade permite, sem autenticação, modificar a configuração global do plugin através de um endpoint de checkout exposto publicamente, o que converte qualquer loja que use versões anteriores à 3.15.0.3 em um objetivo para skimmers de cartões.
As métricas públicas indicam que o Funnel Builder está ativo em dezenas de milhares de sites, pelo que o risco é amplo: um atacante pode injetar código no ajuste “External Scripts” do plugin e conseguir que um programa externo seja carregado em todas as páginas de pagamento. De acordo com a análise técnica publicada por Sansec, os atacantes distribuem um arquivo que é feito pelo Google Tag Manager/Google Analytics e abre uma conexão WebSocket para baixar e executar um skimmer personalizado que coleta números de cartão, CVV, endereços de faturamento e outros dados do comprador. Para detalhes técnicos e amostras da análise, consultar o relatório original de Sansec em https://sansec.io/research/funnelkit-woocommerce-vulnerability-exploited.
Se você gerencia uma loja WooCommerce você deve assumir que ela pode ter sido comprometida se você usa Funnel Builder anterior à 3.15.0.3. O primeiro passo imediato é atualizar o plugin do painel WordPress para a versão corrigida (3.15.0.3 ou superior). A página oficial do plugin no repositório do WordPress contém informações de versões e permite verificar instalações ativas: https://wordpress.org/plugins/funnel-builder/. Não posponha esta atualização: os exploit automatizados costumam propagar-se rapidamente uma vez que a vulnerabilidade se torna pública.
Atualizar sozinha não é suficiente se o atacante já teve tempo de inserir scripts maliciosos. Verifique a secção Settings > Checkout > External Scripts do plugin em busca de itens não autorizados e remove qualquer URL ou código estranho. Além disso, inspecione os ficheiros e as opções da base de dados em busca de alterações recentes na configuração do plugin e hooks de checkout; os skimmers costumam deixar traços nas entradas de ajuste ou em opções personalizadas.
Você também deve assumir risco para os dados de clientes: informa os responsáveis pelo cumprimento (por exemplo, o provedor de passarela de pagamento e a equipe de cumprimento PCI se aplicável), prepara um comunicado para clientes afetados se for confirmado exfiltração e considera forçar a rotação de chaves ou credenciais relacionadas a pagamentos. Monitoriza transações e padrões de fraude e, se detectar acusações fraudulentas, coordena a resposta com a passarela e emissores de cartões.
No plano técnico, ativa registros e análise de tráfego saliente para identificar pedidos para domínios suspeitos (por exemplo, domínios similares a analytics-reports[.]com ou conexões WebSocket a hosts externos como protect-wss[.]com mencionados nos relatórios). Implementa regras temporárias no WAF para bloquear a carga de scripts de fontes externas não autorizadas e aplica controlos de integridade nos arquivos e na base de dados para detectar reincidências. Se você não tem a capacidade interna, contrata uma equipe de resposta a incidentes com experiência em e-commerce.
Este incidente é um lembrete de que os plugins que manipulam o fluxo de pagamento são um vetor crítico: a segurança de uma loja não depende apenas do núcleo do WordPress, mas de cada extensão que tenha permissões sobre o checkout. Mantenha um inventário de plugins, aplique atualizações rapidamente, limita privilégios administrativos e adicione configurações que permitam execução de scripts externos. Para melhores práticas de segurança em pagamentos e cumprimento, consulta as diretrizes do PCI DSS em https://www.pcisecuritystandards.org/ e recursos de hardening de plataformas WordPress e WooCommerce publicados por provedores de segurança especializados.
Se você precisar de ajuda prática para auditar uma instalação afetada ou para projetar um plano de remediação e comunicação, considere contactar especialistas em resposta a incidentes e fornecedores de limpeza de skimmers que ofereçam análises forenses de tráfego e recuperação segura de ambientes e-commerce.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...