Defiant experts hebben gewaarschuwd een groep hackers exploits kwetsbaarheden in meer dan 10 WordPress plugins om nieuwe admin accounts op sites van andere mensen te creëren. Dan, deze rekeningen dienen als backdoors voor aanvallers.
EENolgens onderzoekers, treedt op natuurlijke voortzetting van de kwaadaardige campagne die begon in juli 2019. Die tijd dezelfde hack groep gebruikt kwetsbaarheden in dezelfde plugins om kwaadaardige code op websites te injecteren. Deze code is bedoeld om pop-up advertenties weer te geven of om bezoekers naar andere bronnen omleiden. Nu, vanaf augustus 20, 2019, criminelen zijn tactiek veranderd en het gebruik van andere payloads.“Een groot deel van de campagne blijft identiek. Bekende kwetsbaarheden in WordPress plugins worden uitgebuit om kwaadaardige JavaScript te injecteren in de frontends slachtofferrol plaatsen, die bezoekers van de websites veroorzaakt worden omgeleid naar potentieel schadelijke inhoud, zoals malware droppers en fraude websites. Waar mogelijk, payloads worden versluierd in een poging om detectie door WAF en IDS software”, - verklaarde Defiant experts.
Zo, nu in plaats van de code die verantwoordelijk zijn voor de uitvoering van de pop-ups en omleidingen, code wordt gebruikt om te controleren of de bezoeker van de site heeft de mogelijkheid om gebruikersaccounts te maken (een functie alleen beschikbaar voor admin accounts in WordPress).
Lees ook: Door een beveiligingslek in de plugin voor WordPress mag PHP-code op afstand uit te voeren
eigenlijk, de malware is wachten op de eigenaar van de site om toegang te krijgen tot zijn resource. Wanneer dit gebeurt, de kwaadaardige code maakt een nieuwe administrator account met de naam wpservices met behulp van het adres wpservices@yandex.com en het wachtwoord w0rdpr3ss. Vervolgens worden deze rekeningen worden gebruikt als backdoors.
“De campagne pakt nieuwe doelstellingen na verloop van tijd. Het is redelijk om het even welke niet-geverifieerde XSS of opties updaten kwetsbaarheden bekendgemaakt in de nabije toekomst gaan ervan zal snel worden gericht door deze bedreiging actor”, - zeg Defiant onderzoekers.
De onderzoekers schrijven dat de aanvallen gericht zijn eerder bekende kwetsbaarheden in de volgende plugins:
- Vet Pagina Builder;
- blog Designer;
- Live Chat met Facebook Messenger;
- Yuzo Gerelateerde berichten;
- Visuele CSS Style Editor;
- WP Live Chat Ondersteuning;
- vorm lightbox;
- Hybrid Composer;
- Alle NicDark plugins (nd-reservering, nd-travel, e-learning en ga zo maar door).
Defiant raadt ten zeerste aan dat website-eigenaren het actualiseren van de bovenstaande plugins om de nieuwste versies, evenals controleren hun bronnen voor nieuwe beheerder accounts en, indien nodig, verwijderen frauduleuze rekeningen.
