trassig eksperter har advart at en gruppe av hackere utnytter svakheter i mer enn 10 WordPress plugins for å lage nye admin kontoer på andres nettsteder. Deretter, disse kontoene tjene som bakdører for angripere.
ENccording til forskere, oppstår naturlig videreføring av ondsinnet kampanje som startet i juli 2019. Den tiden det samme hack gruppen brukte sårbarheter i de samme plugins å injisere ondsinnet kode på nettsider. Denne koden var ment å vise pop-up-annonser eller å omdirigere besøkende til andre ressurser. Nå, starter på august 20, 2019, kriminelle har endret taktikk og bruke andre nyttelaster.“Mye av kampanjen forblir identisk. Kjente sårbarheter i WordPress plugins utnyttes til å injisere ondsinnet Javascript inn i grensesnittene av offeret nettsider, som fører til at nettstedenes besøkende å bli omdirigert til potensielt skadelig innhold som malware drop og svindel nettsteder. Hvor mulig, nyttelasten er uklar i et forsøk på å unngå å bli oppdaget av WAF og IDS programvare”, - forklart Defiant eksperter.
Så, nå i stedet for koden ansvarlig for gjennomføringen av pop-ups og omdirigeringer, koden brukes til å sjekke om den besøkende til området har evnen til å opprette brukerkontoer (en funksjon bare tilgjengelig for admin kontoer i WordPress).
Les også: Sårbarhet i plugin for WordPress lov til å kjøre PHP-kode eksternt
faktisk, malware venter på eieren av nettstedet for å få tilgang til hans ressurs. Når dette skjer, ondsinnet kode oppretter en ny administratorkonto oppkalt wpservices med adressen wpservices@yandex.com og passord w0rdpr3ss. Da disse kontoene blir brukt som bakdører.
“Kampanjen plukker opp nye mål over tid. Det er rimelig å anta ikke-godkjente XSS eller alternativer oppdatere sikkerhetsproblemer som beskrives i nær fremtid vil bli raskt målrettet av denne trusselen skuespiller”, - si Defiant forskere.
Forskere skriver at angrepene rettet mot tidligere kjente sårbarheter i de følgende plugins:
- Fet Page Builder;
- Log Designer;
- Live-chat med Facebook Messenger;
- Yuzo Related Posts;
- Visual CSS Style Editor;
- WP Live Chat Support;
- Form Lightbox;
- hybrid Komponist;
- Alle NicDark plugins (nd-booking, nd-travel, nd-læring og så videre).
Defiant sterkt anbefaler at eiere oppdatere de ovennevnte plugins til de siste versjonene, samt sjekke sine ressurser for nye administratorkontoer og, hvis nødvendig, slette falske kontoer.