반항 전문가 경고했다 해커의 그룹보다 취약점을 이용 것을 10 워드 프레스 플러그인은 다른 사람의 사이트에 새 관리자 계정을 생성합니다. 그때, 이러한 계정은 공격자 백도어 역할.
에이연구자 ccording, 월에 시작 악성 캠페인의 자연 계속 발생 2019. 그 시간은 같은 해킹 그룹은 웹 사이트에 악성 코드를 삽입하기 위해 동일한 플러그인의 취약점을 사용. 이 코드는 팝업 광고를 표시하거나 다른 자원에 방문자를 리디렉션하도록했다. 지금, 8 월 시작 20, 2019, 범죄자들은 전술을 변경하고 다른 페이로드를 사용했다."캠페인의 대부분은 동일하게 유지. 워드 프레스 플러그인의 알려진 취약점은 피해자 사이트의 프론트 엔드에 악성 자바 스크립트를 주입하기 위해 이용된다, 사이트 '방문자를 일으키는 악성 코드 적기 및 사기 사이트와 같은 잠재적으로 유해한 콘텐츠에 리디렉션합니다. 가능한 곳, 페이로드는 웹 애플리케이션 방화벽 및 IDS 소프트웨어 "에 의해 탐지를 피하기위한 시도에서 난독 화된다, - 반항 전문가 설명.
그래서, 지금 대신 팝업 및 리디렉션의 구현을 담당하는 코드, 코드는 사이트에 방문자가 사용자 계정을 만들 수있는 능력이 있는지 여부를 확인하는 데 사용됩니다 (단지 워드 프레스의 관리자 계정에 사용할 수있는 기능).
또한 읽기: 워드 프레스를위한 플러그인의 취약점으로 인한 원격 PHP 코드를 실행할 수
사실로, 악성 코드는 자신의 자원에 액세스 할 수있는 사이트의 소유자 기다리고 있습니다. 때 이러한 상황이 발생, 악성 코드는 주소를 사용하여 새 관리자 계정 이름 wpservices을 생성 wpservices@yandex.com 암호 w0rdpr3ss. 그런 다음이 계정은 백도어로 사용됩니다.
"이 캠페인은 시간이 지남에 따라 새로운 목표를 집어 들고. 그것은 "신속하게이 위협 배우의 대상이 될 것입니다 가까운 장래에 개시되어있는 인증되지 않은 XSS 또는 옵션 업데이트 취약점을 가정하는 것이 합리적이다, - 반항 연구자들은 말한다.
연구자들은 공격은 다음과 같은 플러그인 이전에 유명한 취약점을 대상으로하는 것이 쓰기:
- 굵게 페이지 빌더;
- 블로그 디자이너;
- 페이스 북 메신저와 라이브 채팅;
- 유조 관련 게시물;
- 비주얼 CSS 스타일 편집기;
- WP 라이브 채팅 지원;
- 양식 라이트 박스;
- 하이브리드 작곡가;
- 모든 NicDark 플러그인 (ND-예약, ND-여행, 차 학습 등).
흑 강력하게 웹 사이트 소유자는 최신 버전으로 위의 플러그인을 업데이트하는 것이 좋습니다, 뿐만 아니라 새로운 관리자 계정에 대한 자원을 확인하고, 필요하다면, 사기 계정을 삭제.
