Недавно пропатченная брешь в WordPress-плагине AMP для WP эксплуатируется злоумышленниками, которые пытаются внедрить на уязвимые сайты бэкдоры. Об этом сообщили специалисты компании Wordfence, отследившие атаки киберпреступников и описавшие алгоритм нападения. По словам экспертов, командный сервер мошенников размещен на хостинге, ранее замеченном в фишинговых кампаниях.

Уязвимость в расширении AMP для WP, установленном более чем на 100 тыс. сайтов, позволяет зарегистрированному пользователю с минимальными правами внедрять на страницы веб-ресурса произвольный код. Брешь была закрыта в последней версии плагина, однако киберпреступники пытаются эксплуатировать ее, сканируя Интернет в поисках непропатченных площадок.

Как выяснили аналитики Wordfence, злоумышленники используют XSS-атаку, чтобы выполнить на сайте жертвы вредоносный скрипт. После того как администратор веб-ресурса входит в систему, программа открывает невидимый фрейм, в котором создает нового пользователя с именем supportuuser и назначает ему максимальные права в уязвимой системе.

На втором этапе атаки зловред пытается установить на сайт два бэкдора. Программа имитирует действия администратора ресурса, чтобы так же, через скрытый фрейм, внедрить в имеющиеся плагины вредоносные скрипты. Закладки дают возможность киберпреступникам в дальнейшем выполнять на сайте произвольный PHP-код, даже если аккаунт supportuuser будет удален.

Специалисты отмечают, что, в отличие от большинства вредоносных скриптов, код программы не обфусцирован и содержит большое количество комментариев. Это может означать, что зловред еще находится в стадии разработки и тестирования. Как указывают эксперты, кампанию легко отследить, поскольку злоумышленники допустили ошибку в заголовке User-Agent, используемом для спуфинга. Во всех инцидентах, связанных с этой атакой, служебный параметр rv не включает в себя номер версии.

Помимо установки бэкдоров, вредоносный скрипт ищет в инфицированной системе плагин WooCommerce и активирует его, если он отключен. Аналитики предполагают, что злоумышленники собираются использовать уязвимости, недавно обнаруженные в этом расширении, для дальнейших атак. Бреши, выявленные специалистами компании RIPS Technologies, позволяют киберпреступнику получить права администратора и угнать сайт.

Категории: Уязвимости, Хакеры