Компания c/side сообщила о широкомасштабной кампании вредоносного программного обеспечения, нацеленной на сайты WordPress. Кампания затронула более 5 000 сайтов во всем мире. Один из пользователей c/side был атакован, но компания успела остановить атаку. Краулер c/side обнаружил вредоносный домен https://wp3[.]xyz/td.js, связанный с этой кампанией.
Описание
Пока неизвестно, как именно скрипты попали на сайты, исследование продолжается. Однако известно, что скрипт создает неавторизованные учетные записи администратора на зараженном сайте. Имена пользователей и пароли можно найти в коде скрипта. После создания учетной записи скрипт загружает вредоносный плагин WordPress и активирует его на зараженном сайте. Затем он отправляет конфиденциальные данные на удаленный сервер.
Скрипт, используемый в кампании, использует CSRF-токен для запросов. Он отправляет POST-запрос на создание пользователя с жестко заданными учетными данными и записывает статус операции в журнал. Затем скрипт загружает вредоносный плагин и активирует его на сайте. Скрипт также отправляет конфиденциальные данные на удаленный сервер через обфусцированные запросы изображений.
Следующий шаг скрипта - установка вредоносного плагина. Для этого скрипт перехватывает страницу загрузки плагина, получает CSRF-токен, загружает файл плагина с удаленного сервера и отправляет его на установку. Наконец, скрипт проверяет успешность установки, проверяя наличие ссылок на вредоносный домен в содержимом сайта.
Владельцам сайтов WordPress следует быть бдительными и принять необходимые меры для защиты своих сайтов от атак. Рекомендуется регулярно обновлять платформу WordPress и ее плагины, использовать надежные пароли для административных учетных записей, а также удалять неиспользуемые плагины и темы.
C/side рекомендует всем владельцам сайтов WordPress проверить свои сайты и удалить все неавторизованные учетные записи администраторов, а также удалить все неиспользуемые плагины и темы. Зараженные сайты можно найти с помощью PublicWWW.com и URLScan.io.
Indicators of Compromise
Domains
- wp3.xyz
URLs
- https://wp3.xyz
- https://wp3.xyz/td.js
- https://wp3.xyz/tdw.js