Defiant eksperter har advaret at en gruppe hackere udnytter sårbarheder i mere end 10 WordPress plugins til at skabe nye admin konti på andre folks sites. derefter, disse konti tjener som bagdøre for angribere.
ENccording til forskere, opstår naturlig fortsættelse af den ondsindede kampagne, der begyndte i juli 2019. Den tid det samme hack gruppe brugte sårbarheder i de samme plugins til at injicere skadelig kode på hjemmesider. Denne kode skulle vise pop-up-reklamer eller at omdirigere besøgende til andre ressourcer. Nu, starter på August 20, 2019, kriminelle har ændret taktik og bruge andre nyttelast.”En stor del af kampagnen forbliver identisk. Kendte sårbarheder i WordPress plugins udnyttes til at injicere skadelig JavaScript i frontends af ofre sites, som forårsager sites’ besøgende til at blive omdirigeret til potentielt skadeligt indhold som malware pipetter og steder svig. hvor det er muligt, de nyttelast er korrumperet i et forsøg på at undgå at blive opdaget af WAF og IDS software”, - forklarede Defiant eksperter.
Så, nu i stedet for koden er ansvarlig for gennemførelsen af pop-ups og omdirigeringer, kode bruges til at kontrollere, om den besøgende til webstedet har evnen til at skabe brugerkonti (en funktion kun tilgængelig for admin konti i WordPress).
Læs også: Sårbarhed i plugin til WordPress lov til at eksekvere PHP-kode via fjernadgang
faktisk, malware venter på ejeren af webstedet for at få adgang til hans ressource. Når dette sker, den skadelige kode opretter en ny administratorkonto navngivne wpservices ved hjælp af adressen wpservices@yandex.com og adgangskoden w0rdpr3ss. Så disse konti bruges som bagdøre.
”Kampagnen opfanger nye mål over tid. Det er rimeligt at antage nogen godkendte XSS eller optioner opdatere sårbarheder, der er beskrevet i den nærmeste fremtid vil blive hurtigt ramt af denne trussel skuespiller”, - siger Defiant forskere.
Forskere skriver at angreb rettet mod tidligere berømte sårbarheder i de følgende plugins:
- Fed Side Builder;
- Blog Designer;
- Live chat med Facebook Messenger;
- Yuzo Relaterede Stillinger;
- Visuel CSS Style Editor;
- WP live chat support;
- Form Lysbord;
- hybrid Komponist;
- Alle NicDark plugins (nd-booking, nd-travel, nd-læring og så videre).
Defiant anbefaler på det kraftigste, at webstedsejere opdatere ovenstående plugins til de nyeste versioner, samt tjekke deres ressourcer til nye administratorkonti og, Hvis det er nødvendigt, slette svigagtige konti.
