Atores de ameaças estão explorando ativamente uma falha crítica de segurança no Everest Forms Pro, um plugin do WordPress com cerca de 4.000 instalações ativas, para executar código arbitrário, levando ao comprometimento total do site.
A vulnerabilidade em questão é a CVE-2026-3300 (pontuação CVSS, Sistema de Pontuação de Vulnerabilidades Comuns: 9,8), um bug de execução remota de código que impacta todas as versões do plugin até, e incluindo, a 1.9.12. Uma correção para a falha foi lançada em 18 de março de 2026, com a versão 1.9.13.
"Isso ocorre devido à função process_filter() do Add-on de Cálculo concatenar valores de campos de formulário enviados pelo usuário em uma string de código PHP sem o escape adequado antes de passá-la para eval()", afirmou a Wordfence em comunicado.
"A função sanitize_text_field() aplicada à entrada não escapa aspas simples nem outros caracteres de contexto de código PHP. Isso torna possível que atacantes não autenticados injetem e executem código PHP arbitrário no servidor, enviando um valor manipulado em qualquer campo de formulário do tipo string (texto, e-mail, URL, select, radio) quando um formulário usa o recurso 'Cálculo Complexo'."
A exploração bem-sucedida da vulnerabilidade pode permitir que agentes mal-intencionados não autenticados executem código PHP arbitrário no servidor, possibilitando a criação de contas de administrador falsas, a implantação de web shells e a abertura de outras formas de se aprofundar no servidor e estabelecer pontos de apoio persistentes.
Segundo a empresa de segurança do WordPress, foi observado que os atacantes começaram a explorar a falha a partir de 13 de abril de 2026. Mais de 29.300 tentativas de exploração visando o defeito foram bloqueadas até o momento. Dentre essas, 16 tentativas de ataque ocorreram nas últimas 24 horas. A carga útil (payload) mais comum envolve tentativas de criar uma conta de administrador chamada "diksimarina" (endereço de e-mail: diksimarina@gmail.com) no site comprometido.
Esses esforços de ataque se originaram dos seguintes endereços IP:
- 202.56.2.126
- 209.146.60.26
- 15.235.166.18
- 2402:1f00:8000:800::40db
- 185.78.165.153
Ataques de skimmer exploram Stripe como servidor de C2
A divulgação ocorre enquanto a Sansec alertou sobre múltiplas campanhas de skimmer, incluindo uma que usa a Stripe como servidor de comando e controle (C2) e como um ponto de exfiltração de dados, numa tentativa de explorar a reputação da marca e passar pelas regras de Política de Segurança de Conteúdo (CSP) e filtros de rede.
"O atacante trata a Stripe como infraestrutura gratuita, não como uma forma de lavar cobranças", observou a Sansec em nota. "A Stripe oferece a eles um banco de dados gravável para cartões roubados e um endpoint de hospedagem de código para o skimmer, ambos atrás de um domínio no qual as regras CSP e os filtros de rede confiam por padrão."
A campanha depende do Google Tag Manager (GTM) e dos domínios da Stripe — googletagmanager.com e api.stripe.com — que são ambos confiados implicitamente por lojas online, com o código malicioso carregado a partir de um contêiner GTM e executado em cada página que o carrega.
Nas páginas de checkout do Magento e do Adobe Commerce, o malware extrai um skimmer ofuscado do campo de metadados de uma conta de cliente Stripe ("cus_TfFjAAZQNOYENR", neste caso) e salva as informações financeiras, endereços de cobrança e e-mail, e números de telefone inseridos por usuários desatentos no localStorage. Os dados capturados são então exfiltrados de volta para a conta Stripe do atacante.
"Cada cartão roubado se torna um 'cliente' na conta do atacante", afirmou a empresa de segurança de e-commerce. "Em caso de sucesso, o carregador exclui a entrada do localStorage, para que o mesmo registro não seja enviado duas vezes. O atacante lista seus cartões roubados posteriormente chamando a mesma API (Interface de Programação de Aplicações) com a mesma chave. O banco de dados de clientes da Stripe se torna um ponto de exfiltração gratuito e durável."
O registro de cliente da Stripe contendo o skimmer teria sido criado em 24 de dezembro de 2025, indicando que a operação pode estar ativa desde então. A Sansec disse que também identificou uma segunda variante do carregador que usa o Google Firestore em vez da Stripe, embora o objetivo final seja o mesmo: abusar de um serviço confiável como um canal secreto que provavelmente não será bloqueado por lojas de e-commerce.
As descobertas coincidem com uma operação em larga escala chamada GorgonAgora que usou um cluster de 5.714 vitrines falsas .shop imitando marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota, cujas páginas de checkout enviam dados de cartão roubados para um único servidor de skimmer na Moldávia. A campanha está em andamento desde agosto de 2025.
"Cada loja executa a mesma pilha de comércio Medusa.js e carrega o mesmo SDK de checkout personalizado, que renderiza um iframe falso da Stripe e exfiltra dados de cartão por um WebSocket criptografado para um único servidor na Moldávia", disse a empresa holandesa.
"A exfiltração é executada por WebSocket com uma carga útil AES-256-GCM, e o C2 mantém um relay 3D Secure ativo: quando o banco da vítima retorna um desafio 3DS, o operador o retransmite de volta ao comprador através do iframe falso, para que a transação seja concluída e o roubo permaneça invisível."
