Una campaƱa de malwaretising en curso que se ha dirigido a sitios de WordPress desde julio de 2019, se ha dedicado a redirigir los navegadores a sitios que contienen anuncios dudosos o software malicioso o a algo aĆŗn mĆ”s peligroso. SegĆŗn el analista de amenazas de la firma de ciberseguridad Defiant Mikey Veenstra, los malos actores estĆ”n explotando fallas en mĆ”s de diez complementos de WordPress para crear cuentas administrativas falsas en los sitios de WordPress objetivo.
Gran parte de la campaƱa sigue siendo la misma, dijo Veenstra. Los atacantes explotan vulnerabilidades conocidas en los complementos de WordPress para inyectar cĆ³digo JavaScript malicioso en las interfaces de los sitios de las vĆctimas, lo que redirige a los visitantes del sitio a contenido potencialmente daƱino. Siempre que sea posible, las cargas Ćŗtiles se ofuscan en un intento de evitar ser detectados por el software WAF e IDS. Sin embargo, recientemente los atacantes agregaron nuevas vulnerabilidades a la lista de objetivos, a saber, los defectos en los complementos de Bold Page Builder y NinTechNet.
AdemĆ”s, el grupo de hackers detrĆ”s de la campaƱa agregĆ³ un script adicional "que intenta instalar una puerta trasera en el sitio objetivo explotando la sesiĆ³n de un administrador". El script malicioso intenta crear un nuevo usuario con privilegios de administrador en el sitio de la vĆctima.
“Si al usuario se le presenta un _wpnonce_create-user nonce cuando visita el sitio wp-admin / user-new.phpendpoint, el script sabe que se puede crear un nuevo usuario. Si este es el caso, se activa la funciĆ³n putmeone (). Esta funciĆ³n realiza una llamada AJAX a travĆ©s de jQuery que crea la cuenta de administrador no autorizado ”, explicĆ³ Veenstra.
La llamada AJAX crea un usuario llamado "wpservices" con el correo electrĆ³nico "wpservices@yandex.com" y la contraseƱa "w0rdpr3ss". Luego, el atacante puede instalar mĆ”s puertas traseras o realizar otras actividades maliciosas.
Actualmente, la campaƱa se dirige a los siguientes complementos:
- Bold Page Builder
- DiseƱador de blog
- Chat en vivo con Facebook Messenger
- Publicaciones relacionadas
- Editor de estilo visual CSS
- Formulario de soporte de chat en vivo de WP
- Compositor hĆbrido Lightbox
Todos los complementos anteriores de NicDark (nd-booking, nd-travel, nd-learning, et. Al.)
Se recomienda a los propietarios de sitios web con WordPress que utilicen cualquiera de los complementos mencionados anteriormente que verifiquen si tienen instaladas las Ćŗltimas versiones del software. Sin embargo, Veenstra advirtiĆ³ que "es razonable suponer que cualquier vulnerabilidad de actualizaciĆ³n de XSS u opciones no autenticada revelada en un futuro prĆ³ximo serĆ” rĆ”pidamente atacada por este actor de amenaza" a medida que la campaƱa recoge nuevos objetivos con el tiempo.
Fuente: https://www.cybersecurity-help.cz/blog/664.html
