Эксперты компании Defiant предупредили, что группа хакеров использует уязвимости более чем в 10 плагинах для WordPress, чтобы создавать новые учетные записи администраторов на чужих сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.

По данным исследователей, происходящее – закономерное продолжение вредоносной кампании, начавшейся еще в июле 2019 года. Тогда эта же хак-группа использовала уязвимости в тех же плагинах, чтобы внедрять на сайты вредоносный код. Этот код предназначался для показа всплывающей рекламы или для перенаправления посетителей на другие ресурсы. Теперь, начиная с 20 августа 2019 года, преступники сменили тактику и используют другие пейлоады.

Так, теперь вместо кода, отвечающего за внедрение всплывающих окон и перенаправления, используется код, проверяющий, есть ли у посетителя сайта возможность создавать учетные записи пользователей (функция, доступная только аккаунтам администратора в WordPress). По сути, малварь ждет, когда владелец сайта осуществит доступ к своему ресурсу. Когда это происходит, вредоносный код создает новую учетную запись администратора с именем wpservices, используя адрес wpservices@yandex.com и пароль w0rdpr3ss . Затем такие аккаунты используются в качестве бэкдоров.

Исследователи пишут, что атаки направлены на известные уязвимости в следующих плагинах:

Defiant настоятельно рекомендует владельцам сайтов обновить вышеперечисленные плагины до актуальных версий, а также проверить свои ресурсы на предмет новых аккаунтов администратора и, если необходимо, удалить мошеннические учетные записи.

1 комментарий

  1. Аватар

    Diflyrest

    02.09.2019 at 20:22

Оставить мнение