Более 5 000 сайтов WordPress подверглись атаке вредоносного ПО WP3.XYZ

security IOC

Компания c/side сообщила о широкомасштабной кампании вредоносного программного обеспечения, нацеленной на сайты WordPress. Кампания затронула более 5 000 сайтов во всем мире. Один из пользователей c/side был атакован, но компания успела остановить атаку. Краулер c/side обнаружил вредоносный домен https://wp3[.]xyz/td.js, связанный с этой кампанией.

Описание

Пока неизвестно, как именно скрипты попали на сайты, исследование продолжается. Однако известно, что скрипт создает неавторизованные учетные записи администратора на зараженном сайте. Имена пользователей и пароли можно найти в коде скрипта. После создания учетной записи скрипт загружает вредоносный плагин WordPress и активирует его на зараженном сайте. Затем он отправляет конфиденциальные данные на удаленный сервер.

Скрипт, используемый в кампании, использует CSRF-токен для запросов. Он отправляет POST-запрос на создание пользователя с жестко заданными учетными данными и записывает статус операции в журнал. Затем скрипт загружает вредоносный плагин и активирует его на сайте. Скрипт также отправляет конфиденциальные данные на удаленный сервер через обфусцированные запросы изображений.

Следующий шаг скрипта - установка вредоносного плагина. Для этого скрипт перехватывает страницу загрузки плагина, получает CSRF-токен, загружает файл плагина с удаленного сервера и отправляет его на установку. Наконец, скрипт проверяет успешность установки, проверяя наличие ссылок на вредоносный домен в содержимом сайта.

Владельцам сайтов WordPress следует быть бдительными и принять необходимые меры для защиты своих сайтов от атак. Рекомендуется регулярно обновлять платформу WordPress и ее плагины, использовать надежные пароли для административных учетных записей, а также удалять неиспользуемые плагины и темы.

C/side рекомендует всем владельцам сайтов WordPress проверить свои сайты и удалить все неавторизованные учетные записи администраторов, а также удалить все неиспользуемые плагины и темы. Зараженные сайты можно найти с помощью PublicWWW.com и URLScan.io.

Indicators of Compromise

Domains

  • wp3.xyz

URLs

  • https://wp3.xyz
  • https://wp3.xyz/td.js
  • https://wp3.xyz/tdw.js
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий