especialistas Defiant advertiram que um grupo de hackers explora as vulnerabilidades no mais de 10 WordPress plugins para criar novas contas de administrador em sites de outras pessoas. então, essas contas servir como backdoors para os atacantes.
UMAegundo pesquisadores, ocorre continuação natural da campanha malicioso que começou em julho 2019. Nessa altura, o mesmo grupo de corte utilizado vulnerabilidades nas mesmas plugins para injetar códigos maliciosos em sites. Este código foi concebido para exibir anúncios pop-up ou redirecionar os visitantes para outros recursos. Agora, a partir de agosto 20, 2019, criminosos mudaram de tática e utilizar outras cargas.“Grande parte da campanha permanece idêntica. vulnerabilidades conhecidas em WordPress plugins são exploradas para injetar JavaScript malicioso nas interfaces de sites vítimas, que faz com que os visitantes dos sites para ser redirecionado para o conteúdo potencialmente prejudicial como conta-gotas de malware e sites de fraude. Sempre que possível, as cargas são ofuscado em uma tentativa de evitar a detecção por software WAF e IDS”, - explicou especialistas Defiant.
assim, agora, em vez do código responsável pela implementação de pop-ups e redirecionamentos, código é utilizado para verificar se o visitante do site tem a capacidade de criar contas de usuário (um recurso disponível apenas para contas de administrador em WordPress).
Leia também: Vulnerabilidade no plugin para WordPress permitido executar PHP código remotamente
de fato, o malware está esperando para o proprietário do site para acessar seu recurso. Quando isso acontece, o código malicioso cria uma nova conta chamada Administrador wpservices usando o endereço wpservices@yandex.com e a senha w0rdpr3ss. Em seguida, essas contas são utilizadas como backdoors.
“A campanha pega novas metas ao longo do tempo. É razoável supor nenhum XSS ou atualizar opções de vulnerabilidades não autenticados divulgados no futuro próximo será rapidamente alvejado por este actor ameaça”, - dizem pesquisadores Defiant.
Os investigadores escrevem que ataques direcionados às vulnerabilidades anteriormente famosas nas seguintes plugins:
- Builder página bold;
- Blog Designer;
- Bate-papo ao vivo com Facebook Messenger;
- Yuzo Posts Relacionados;
- Visual Editor CSS Estilo;
- Live Support Chat WP;
- formulário Lightbox;
- híbrido Compositor;
- Todos os plugins NicDark (nd-reserva, nd-curso, nd-aprendizagem e assim por diante).
Defiant recomenda que os proprietários de sites atualizar os plugins acima para as versões mais recentes, bem como verificar os seus recursos para novas contas de administrador e, se necessário, excluir contas fraudulentas.
