Более пяти тысяч веб-ресурсов уже попали под удар новой масштабной кампании.
На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные. Специалисты компании c/side, занимающейся безопасностью веб-скриптов, обнаружили эту активность во время реагирования на инцидент у одного из клиентов.
Вредоносная активность использует домен wp3[.]xyz для передачи данных. Исходный вектор заражения пока не установлен. После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде.
Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена. По данным c/side, этот плагин предназначен для сбора конфиденциальной информации, включая учётные данные администраторов и логи, которые отправляются на сервер злоумышленников. Передача данных маскируется под запрос изображений.
Атака включает механизмы проверки, такие как запись статуса после создания учётной записи и подтверждение установки плагина.
Для предотвращения подобных атак специалисты c/side рекомендуют:
Массовые атаки на сайты WordPress подчёркивают, насколько важна регулярная проверка безопасности и проактивная защита. Игнорирование этих мер может стоить конфиденциальных данных и контроля над ресурсом.
На более чем 5000 сайтов WordPress выявлена вредоносная кампания, в ходе которой злоумышленники создают фальшивые учётные записи администратора, устанавливают вредоносные плагины и похищают данные. Специалисты компании c/side, занимающейся безопасностью веб-скриптов, обнаружили эту активность во время реагирования на инцидент у одного из клиентов.
Вредоносная активность использует домен wp3[.]xyz для передачи данных. Исходный вектор заражения пока не установлен. После компрометации сайта вредоносный скрипт из указанного домена создаёт учётную запись администратора с именем wpx_admin, а её данные сохраняются в коде.
Затем скрипт загружает и активирует вредоносный плагин под названием plugin.php с того же домена. По данным c/side, этот плагин предназначен для сбора конфиденциальной информации, включая учётные данные администраторов и логи, которые отправляются на сервер злоумышленников. Передача данных маскируется под запрос изображений.
Атака включает механизмы проверки, такие как запись статуса после создания учётной записи и подтверждение установки плагина.
Для предотвращения подобных атак специалисты c/side рекомендуют:
- Заблокировать домен wp3[.]xyz с помощью брандмауэров и средств защиты.
- Проверить все привилегированные учётные записи и установленные плагины, удаляя подозрительные элементы.
- Усилить защиту от CSRF-атак с использованием уникальных токенов, серверной валидации и их периодической регенерации. Срок действия токенов должен быть ограничен.
- Настроить многофакторную аутентификацию для защиты учётных записей с уже скомпрометированными данными
Массовые атаки на сайты WordPress подчёркивают, насколько важна регулярная проверка безопасности и проактивная защита. Игнорирование этих мер может стоить конфиденциальных данных и контроля над ресурсом.