Эксперты компании Defiant предупредили, что группа хакеров использует уязвимости более чем в 10 плагинах для WordPress, чтобы создавать новые учетные записи администраторов на чужих сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.
По данным исследователей, происходящее – закономерное продолжение вредоносной кампании, начавшейся еще в июле 2019 года. Тогда эта же хак-группа использовала уязвимости в тех же плагинах, чтобы внедрять на сайты вредоносный код. Этот код предназначался для показа всплывающей рекламы или для перенаправления посетителей на другие ресурсы. Теперь, начиная с 20 августа 2019 года, преступники сменили тактику и используют другие пейлоады.
Так, теперь вместо кода, отвечающего за внедрение всплывающих окон и перенаправления, используется код, проверяющий, есть ли у посетителя сайта возможность создавать учетные записи пользователей (функция, доступная только аккаунтам администратора в WordPress). По сути, малварь ждет, когда владелец сайта осуществит доступ к своему ресурсу. Когда это происходит, вредоносный код создает новую учетную запись администратора с именем wpservices, используя адрес wpservices@yandex.com и пароль w0rdpr3ss . Затем такие аккаунты используются в качестве бэкдоров.
Исследователи пишут, что атаки направлены на известные уязвимости в следующих плагинах:
- Bold Page Builder;
- Blog Designer;
- Live Chat with Facebook Messenger;
- Yuzo Related Posts;
- Visual CSS Style Editor;
- WP Live Chat Support;
- Form Lightbox;
- Hybrid Composer;
- Все плагины NicDark (nd-booking, nd-travel, nd-learning и так далее).
Defiant настоятельно рекомендует владельцам сайтов обновить вышеперечисленные плагины до актуальных версий, а также проверить свои ресурсы на предмет новых аккаунтов администратора и, если необходимо, удалить мошеннические учетные записи.