Злоумышленники атаковали web-дизайнера WordPress

Совсем недавно стало известно , что злоумышленники провели масштабную атаку на web-сайты под управлением CMS Wordpress.

По данным Naked Security , существует способ получить полный доступ к сайтам, работающим на базе WordPress, посредством добавления «/wp-admin» к полному доменному имени. Это, в свою очередь, перенаправляет пользователя на страницу входа в WordPress. Эту теорию удалось доказать на примере web-дизайнера Лизы Гудлин (Lisa Goodlin).

Введя «/wp-admin» в строку с именем, пользователю удалось узнать, что info@lisagoodlin.com является активным адресом, который Лиза использует для переписки со своими деловыми клиентами. Затем стало известно, что среди заказчиков присутствует luresite.example, которому можно отправить письмо любого информационного характера.

Фишеры использовали довольно простую схему для управления C&C-сервером, поскольку тот принадлежал неосведомленному третьему лицу. На взломанном сервере злоумышленники создали несколько PHP-скриптов, которые имитировали страницу входа в wp-admin.

Пройдя по соответствующему URL-адресу, отображается реалистичная web-страница входа:

Примечательно, что неточности в работе можно заметить далеко не сразу, поскольку зачастую пользователи просто не обращают внимание на начало доменного имени. Таким образом, при введении аутентификационных данных C&C-сервер автоматически получает логин и пароль пользователя.

Стоит отметить, что наибольшее количество (64%) атак было совершенно на пользователей из США. Среди главных жертв также оказались жители Германии (7%), Великобритании (3%), Франции (3%), Нидерланд (2%) и других государств (21%). Об этом в своем отчете сообщили ИБ-эксперты TrendMicro.