expertos desafiantes han advertido que un grupo de piratas informáticos explota vulnerabilidades en más de 10 plugins de WordPress para crear nuevas cuentas de administrador en sitios de otras personas. entonces, estas cuentas sirven como puertas traseras de los atacantes.
UNAe acuerdo con los investigadores, ocurre continuación natural de la campaña malicioso que se inició en julio 2019. Entonces, el mismo grupo truco utilizado vulnerabilidades en los mismos plugins para inyectar código malicioso en sitios web. Este código se pretende mostrar anuncios pop-up o redirigir los visitantes a otros recursos. Ahora, a partir de agosto 20, 2019, los delincuentes han cambiado de táctica y utilizar otras cargas útiles.“Gran parte de la campaña sigue siendo idéntica. vulnerabilidades conocidas de plugins de WordPress son explotados para inyectar JavaScript malicioso en las interfaces de sitios víctima, lo que hace que los visitantes de los Sitios a ser redirigido a contenidos potencialmente dañinos como los cuentagotas de malware y sitios de fraude. Donde sea posible, las cargas útiles se ofuscado en un intento de evitar ser detectados por WAF e IDS software”, - explicó expertos Desafiante.
Asi que, Ahora en lugar del código responsable de la ejecución de pop-ups y redirecciones, código se utiliza para comprobar si el visitante del sitio tiene la capacidad de crear cuentas de usuario (una función disponible sólo para las cuentas de administrador de WordPress).
leer también: Una vulnerabilidad en el plugin para WordPress permite ejecutar código PHP de forma remota
de hecho, el malware está a la espera para el propietario del sitio para acceder a su recurso. Cuando esto pasa, el código malicioso crea una nueva cuenta de administrador wpservices nombre propio utilizando la dirección wpservices@yandex.com y la contraseña w0rdpr3ss. A continuación, estas cuentas se utilizan como puertas traseras.
“La campaña recoge nuevos objetivos en el tiempo. Es razonable suponer ningún XSS o actualizar las opciones de vulnerabilidades no autenticados dados a conocer en un futuro próximo será rápidamente el blanco de este actor amenaza”, - dicen los investigadores Desafiante.
Los investigadores escriben que los ataques se dirigen a vulnerabilidades previamente famosos en los siguientes plugins:
- Constructor Página negrita;
- Blog diseñador;
- Chat en vivo con Facebook Messenger;
- Yuzo Related Posts;
- Editor visual de estilos CSS;
- WP Live chat;
- formulario de la mesa de luz;
- Compositor híbrido;
- Todos los plugins NicDark (nd-reserva, nd-viajes, nd-aprendizaje y así sucesivamente).
Desafiante recomienda encarecidamente que propietarios de sitios web se actualizan los plugins anteriores a las últimas versiones, así como comprobar sus recursos para nuevas cuentas de administrador y, si necesario, eliminar cuentas fraudulentas.
