Blog

Greška u WordPress dodatku se koristi za distribuciju zlonamernih oglasa

Zvezda neaktivnaZvezda neaktivnaZvezda neaktivnaZvezda neaktivnaZvezda neaktivna
 

Analitičari Wordfence-a su primetili da je XSS ranjivost u plug-inu Coming Soon Page & Maintenance Mode, koja je postala poznata prošle nedelje, već iskorišćena od strane hakera.

Ranjivost omogućava neovlašćenim napadačima da ubace javascript ili html u ranjive sajtove koji rade na verziji 1.7.8 ili manjoj. Ovaj kod pomaže pri preuzimanju podataka iz domena treće strane koji kontrolišu napadači na sajtu.

Dakle, žrtve se prvo preusmeravaju na domen, koji proverava tip uređaja koji koristi, User-Agent-a i na osnovu toga i drugih faktora, preusmerava posetioca na jedan od zlonamernih sajtova (lažni resursi za tehničku podršku, pornografski sajtovi, preuzimanje različitih Android APK-ova, sumnjive farmaceutske stranice). Takođe, istraživači su otkrili sajtove koji pokušavaju da direktno napadaju korisnikov pretraživač različitim trikovima i exploit-ima.

Istraživači su pisali da su operatori ove kampanje koristili obfuscirani sadržaj, a takođe su uključili veliki broj sajtova u napadima (očigledno, pokušavajući da prikriju svoje tragove i zbune stručnjake za bezbednost informacija).

Pored toga, osim preusmeravanja, napadači uvode i pop-up oglase na web stranicama žrtava. JavaScript kod koji je odgovoran za ovo nađen je na domenima koji su povezani sa ovom zlonamernom kampanjom, a stručnjaci su pronašli injekcije koje izvlače skripte sa legitimnih sajtova koji su prethodno zaraženi drugim sredstvima.

Wordfence podseća da su se slični napadi na plugin-ove dogodili ranije. Na primer, u proleće ove godine, hakeri su slično koristili bug u plugin-u Yellow Pencil Visual Theme Customizer, kao i u plugin-u Yuzo Related Posts.