Злоумышленники нашли новый способ перехватывать контроль над WordPress-сайтами. Через утилиту Jetpack атакующие загружают вредоносный плагин pluginsamonsters, с помощью которого внедряют сторонний код и перенаправляют посетителей на небезопасные ресурсы.

Исследователи из Wordfence провели экспериментальный захват специально созданных страниц и изучили механизм взлома.

Как отмечают аналитики, чтобы атакующий добился успеха, необходимо выполнение следующих условий:

  • Злоумышленник имеет доступ к учетным данным администратора
  • На целевом сайте установлен плагин Jetpack
  • Настройки расширения позволяют управлять страницами с помощью аккаунта WordPress.com
  • Отключена двухэтапная аутентификация

На каждой из этих стадий «угонщика» может ожидать провал. Однако если злоумышленнику повезет, то именно слабая защита аккаунта и Jetpack станут точками входа.

Когда исследователи только обнаружили атаку, они полагали, что преступники смогли заполучить учетные данные администраторов зараженных сайтов из-за бага в самом движке WordPress, но позднее представители сервиса уточнили, что в системе нет брешей и выдать свои пароли могли только сами жертвы.

Получив доступ к аккаунту, злоумышленники проверяли наличие на управляемых им ресурсах плагина Jetpack. Расширение глубоко интегрировано в WordPress и имеет права администратора, поэтому не запрашивает у пользователя подтверждения тех или иных действий. С его помощью можно управлять несколькими страницами с одного аккаунта, в том числе устанавливать на них сторонние надстройки.

Как выяснили эксперты в ходе эксперимента, чтобы установить pluginsamonsters, даже не нужно размещать его в официальном репозитории WordPress, достаточно загрузить вредонос в виде ZIP-файла через Jetpack. После успешной установки плагин маскируется — в активном состоянии расширение отсутствует в панели администратора конкретного сайта, его можно обнаружить только в консоли управления WordPress-аккаунта.

Среди файлов pluginsamonsters внимание аналитиков привлек .txt-документ со строками стороннего кода и PHP-скриптом для загрузки данных. Они оказались нужны злоумышленникам для создания новых бэкдоров, поддерживающих контроль преступников над страницей.

При этом основная цель pluginsamonsters — изменить файл index.php. Плагин внедряет в него вредоносный код, заставляя страницу последовательно перенаправлять пользователей на ресурсы злоумышленников — сначала на roi777[.]com, а затем на один из десятков созданных в домене .tk адресов. При этом один и тот же посетитель зараженного сайта может попасть на вредоносную страницу не чаще чем раз в 12 часов.

На .tk-ресурсах жертву поджидают несколько подготовленных взломщиками ловушек. Это могут быть предупреждения от поддельного антивируса с использованием синтеза речи, всплывающие окна или перехват управления компьютерной мышью. Исследователи отмечают, что пользователю могут показывать и другой контент в зависимости от IP-адреса жертвы, устройства и прочих параметров.

Первые атаки были зафиксированы 16 мая, а спустя пять дней ИБ-аналитики заметили, что название вредоносного плагина сменилось на wpsmilepack. Создатели зловреда оказались уже знакомы специалистам Wordfence. В феврале 2018 года служба безопасности сервиса обнаружила случаи credential stuffing, то есть попытки завладеть аккаунтами пользователей путем проверки украденных на других ресурсах учетных данных.

Поскольку эти два события могут быть связаны, разработчики WordPress советуют пользователям усилить свои пароли и использовать двухэтапную аутентификацию.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры