Эксперты компании Defiant предупредили, что группа хакеров использует уязвимости более чем в 10 плагинах для WordPress, чтобы создавать новые учетные записи администраторов на чужих сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.

По данным исследователей, происходящее – закономерное продолжение вредоносной кампании, начавшейся еще в июле 2019 года. Тогда эта же хак-группа использовала уязвимости в тех же плагинах, чтобы внедрять на сайты вредоносный код. Этот код предназначался для показа всплывающей рекламы или для перенаправления посетителей на другие ресурсы. Теперь, начиная с 20 августа 2019 года, преступники сменили тактику и используют другие пейлоады.

Так, теперь вместо кода, отвечающего за внедрение всплывающих окон и перенаправления, используется код, проверяющий, есть ли у посетителя сайта возможность создавать учетные записи пользователей (функция, доступная только аккаунтам администратора в WordPress). По сути, малварь ждет, когда владелец сайта осуществит доступ к своему ресурсу. Когда это происходит, вредоносный код создает новую учетную запись администратора с именем wpservices, используя адрес wpservices@yandex.com и пароль w0rdpr3ss . Затем такие аккаунты используются в качестве бэкдоров.

Исследователи пишут, что атаки направлены на известные уязвимости в следующих плагинах:

Defiant настоятельно рекомендует владельцам сайтов обновить вышеперечисленные плагины до актуальных версий, а также проверить свои ресурсы на предмет новых аккаунтов администратора и, если необходимо, удалить мошеннические учетные записи.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии