Следующая новость
Предыдущая новость

Хакеры используют уязвимости более чем в 10 плагинах для WordPress

02.09.2019 22:53
Хакеры используют уязвимости более чем в 10 плагинах для WordPress

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты компании Defiant предупредили, что группа хакеров использует уязвимости более чем в 10 плагинах для WordPress, чтобы создавать новые учетные записи администраторов на чужих сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.

По данным исследователей, происходящее – закономерное продолжение вредоносной кампании, начавшейся еще в июле 2019 года. Тогда эта же хак-группа использовала уязвимости в тех же плагинах, чтобы внедрять на сайты вредоносный код. Этот код предназначался для показа всплывающей рекламы или для перенаправления посетителей на другие ресурсы. Теперь, начиная с 20 августа 2019 года, преступники сменили тактику и используют другие пейлоады.

Так, теперь вместо кода, отвечающего за внедрение всплывающих окон и перенаправления, используется код, проверяющий, есть ли у посетителя сайта возможность создавать учетные записи пользователей (функция, доступная только аккаунтам администратора в WordPress). По сути, малварь ждет, когда владелец сайта осуществит доступ к своему ресурсу. Когда это происходит, вредоносный код создает новую учетную запись администратора с именем wpservices, используя адрес wpservices@yandex.com и пароль w0rdpr3ss . Затем такие аккаунты используются в качестве бэкдоров.

Исследователи пишут, что атаки направлены на известные уязвимости в следующих плагинах:

  • Bold Page Builder;
  • Blog Designer;
  • Live Chat with Facebook Messenger;
  • Yuzo Related Posts;
  • Visual CSS Style Editor;
  • WP Live Chat Support;
  • Form Lightbox;
  • Hybrid Composer;
  • Все плагины NicDark (nd-booking, nd-travel, nd-learning и так далее).

Defiant настоятельно рекомендует владельцам сайтов обновить вышеперечисленные плагины до актуальных версий, а также проверить свои ресурсы на предмет новых аккаунтов администратора и, если необходимо, удалить мошеннические учетные записи.

Источник

Последние новости