Злоумышленники атакуют сайты на WordPress через популярный плагин

В настоящее атакующие просто компрометируют сайты, сообщает Securitylab.ru.

Киберпреступники активно эксплуатируют в популярном плагине WP GDPR Compliance для установки бэкдоров и перехвата управления сайтами на . Данный плагин помогает владельцам ресурсов обеспечить соответствие требованиям Общего регламента по защите данных (GDPR), число его установок превышает 100 тыс.

Атаки на сайты начались примерно три недели назад. Как показало , на всех пострадавших ресурсах был установлен плагин WP GDPR Compliance. Команда WordPress удалила плагин из каталога в связи с наличием ряда уязвимостей в его коде. Плагин был восстановлен в каталоге после выпуска исправленной версии 1.4.3.

Несмотря на выпуск новой версии плагина многие владельцы сайтов еще не установили обновление, чем и пользуются киберпреступники, продолжая атаковать ресурсы, использующие уязвимые редакции WP GDPR Compliance (версия 1.4.2 и ниже).

По словам специалистов компании Defiant, злоумышленники применяют атаки двух типов. В первом случае они используют уязвимость в плагине для модификации настроек и создания новой учетной записи администратора и устанавливают на скомпрометированном сайте бэкдор (файл wp-cache.php), позволяющий загружать дополнительные вредоносные модули.

Во втором случае атакующие добавляют новую задачу в WP-Cron — встроенный планировщик задач WordPress. Данный процесс загружает и устанавливает плагин 2MB Autocode, который злоумышленники в дальнейшем используют для внедрения бэкдора на сайт. Файл обладает тем же именем (wp-cache.php), но отличается от указанного выше.

В настоящее время атакующие просто компрометируют сайты и не используют бэкдоры для каких-либо вредоносных действий. С какой целью проводятся атаки, пока неясно. Как полагают исследователи, атакующие могут готовить инфраструктуру для будущих кампаний или «копят» ресурсы для дальнейшей продажи доступа к ним другим киберпреступным группировкам.

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться