Киберпреступники изобрели новый метод компрометации сайтов на WordPress

Киберпреступники изобрели новый метод компрометации сайтов на WordPress

Атака довольно сложна в исполнении и проводится в несколько этапов.

Киберпреступники придумали новый способ внедрения вредоносных плагинов на сайты, работающие под управлением CMS WordPress. Новая техника компрометации сайтов предполагает эксплуатацию слабо защищенных учетных записей в приложении WordPress.com и плагина Jetpack. Атака довольно сложна в исполнении и проводится в несколько этапов. Согласно данным компании Wordfence и сообщениям ряда пользователей на форуме WordPress.org, первые случаи компрометации сайтов были зафиксированы 16 мая.

В то время как WordPress.org находится в ведении сообщества WordPress, интерфейс WordPress.com разработан компанией Automattic. Приложение поддерживает работу с сайтами и на других хостинг-площадках через плагин Jetpack, и позволяет управлять контентом, плагинами, темами и многим другим.

По словам исследователей, на первом этапе атаки хакеры пытаются взломать учетные записи в WordPress.com с помощью учетных данных из общедоступных баз утекших ранее паролей. Далее злоумышленники эксплуатируют одну из функций Jetpack, а именно возможность установки плагинов на разных сайтах через панель управления WordPress.com, для внедрения бэкдора. Как отмечается, атакующим не требуется размещать или прятать вредоносный плагин в официальном репозитории WordPress.org, они могут просто загрузить ZIP архив с вредоносным кодом и отправить его на различные сайты. Таким образом злоумышленники могут внедрить бэкдоры на защищенные ресурсы.

Согласно данным экспертов, первые случаи компрометации были зафиксированы 16 мая. Изначально злоумышленники распространяли вредоносный плагин под названием «pluginsamonsters», однако с 21 мая переключили на другой плагин – «wpsmilepack».

В настоящее время число скомпрометированных сайтов неизвестно. Обнаружить такие ресурсы также довольно сложно, поскольку вредоносный плагин можно увидеть на панели управления WordPress.com, однако в списке плагинов целевого сайта он невидим. На данный момент злоумышленники используют бэкдоры для перенаправления пользователей на мошеннические сайты техподдержки.

При обнаружении подозрительных плагинов пользователям рекомендуется изменить пароль в своей учетной записи на WordPress.com и включить двухфакторную аутентификацию.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену