Defiant Experten haben davor gewarnt, daß eine Gruppe von Hackern nutzt Schwachstellen in mehr als 10 Wordpress-Plugins neue Admin-Konten anderer Leute Websites erstellen. Dann, diese Konten dienen als Backdoors für Angreifer.
EINaut Forscher, tritt auf natürliche Fortsetzung der bösartigen Kampagne, die im Juli begann 2019. Diese Zeit die gleiche Kerbe Gruppe verwendete Schwachstellen in dem gleichen Plugins bösartigen Code auf Webseiten zu injizieren. Dieser Code sollte auf andere Ressourcen Pop-up-Anzeigen oder umleiten Besucher zum anzeigen. Jetzt, ab August 20, 2019, Kriminelle haben Taktik geändert und verwenden andere Nutzlasten.„Ein großer Teil der Kampagne bleibt gleich. Bekannte Schwachstellen in Wordpress-Plugins werden ausgebeutet, um böswillige JavaScript in den Frontends der Opfer Websites zu injizieren, , die die Standorte der Besucher führt zu potenziell schädlichen Inhalten wie Malware Tropfer und Betrug Websites umgeleitet werden. Wo möglich, die Nutzlasten in einem Versuch, verschleiert zu vermeiden Erkennung von WAF und IDS-Software“, - erklärt Defiant Experten.
So, jetzt anstelle des Codes verantwortlich für die Umsetzung von Pop-ups und Umleitungen, Code verwendet wird, ob der Besucher auf die Website zu überprüfen, hat die Möglichkeit, Benutzerkonten zu erstellen (ein Feature nur für Admin-Konten in Wordpress).
lesen Sie auch: Sicherheitsanfälligkeit im Plugin für Wordpress erlaubt PHP-Code remote auszuführen
eigentlich, die Malware für den Eigentümer der Website wartet seine Ressource zuzugreifen. Wenn das passiert, der bösartige Code erstellt ein neues Administratorkonto mit dem Namen wpservices unter Verwendung der Adresse wpservices@yandex.com und das Passwort w0rdpr3ss. Dann werden diese Konten als Backdoors verwendet.
„Die Kampagne nimmt neue Ziele im Laufe der Zeit. Es ist vernünftig keine unauthenticated XSS oder Optionen Update Schwachstellen in naher Zukunft offenbart anzunehmen, wird von dieser Bedrohung Schauspielern schnell ausgerichtet werden“, - sagen Defiant Forscher.
Die Forscher schreiben, dass Angriffe in den folgenden Plugins bisher bekannten Verwundbarkeiten Ziel:
- Bold Page Builder;
- Blog-Designer;
- Live Chat mit Facebook Messenger;
- Yuzo Related Posts;
- Visueller CSS Style Editor;
- WP Live Chat Support;
- Form Leuchtkasten;
- Hybrid Komponist;
- Alle NicDark Plugins (nd-Buchung, nd-Reise, nd-Learning und so weiter).
Defiant empfiehlt dringend, dass Website-Besitzer den oben genannten Plugins auf die neuesten Versionen aktualisieren, sowie ihre Ressourcen für neue Administrator-Konten überprüfen und, wenn erforderlich, löschen betrügerische Konten.
