Киберпреступники использовали взломанный сайт для перехвата входящего трафика с целью его переадресации на другие сайты.
Злоумышленники использовали старую уязвимость в коммерческом плагине для WordPress с целью взлома web-сайтов и внедрения бэкдоров. Первые атаки были замечены в конце прошлого месяца.
Речь идет о коммерческом плагине “WP Cost Estimate & Payment Forms Builder”, используемом для создания платежных форм на сайтах эллектронной коммерции.
По словам эксперта Defiant Мики Веенстры (Mikey Veenstra), киберпреступники использовали взломанные сайты для перехвата входящего трафика с целью его переадресации на другие сайты. Он не исключил злоупотребление бэкдором нападавшими и для других целей.
В своем отчете Веенстра отметил , что злоумышленники использовали уязвимость, связанную c технологией AJAX, в функции загрузки плагина для сохранения файлов с бессмысленными расширениями (такими как ngfndfgsdcas.tss) на атакуемых сайтах.
Далее атакующие загружали файл .htaccess, связывающий нестандартное расширение файла с PHP-интерпретатором сайта. Таким образом при последующем доступе к файлу содержащийся в нем PHP-код исполнялся и активировал бэкдор.
В других случаях злоумышленники использовали связанные с AJAX функции для удаления настроек сайта и его переконфигурации с целью использования своей вредоносной базы данных.
По словам специалистов Defiant, все версии WP Cost Estimate до 9.644 уязвимы к этим атакам. Авторы исправили ошибку в выпуске v9.644 в октябре 2018 года после жалобы одного из пользователей о взломе его сайта. Разработчики не стали публично раскрывать эту проблему безопасности, за исключением краткого упоминания в комментарии на сервисе купли-продажи скриптов CodeCanyon. Согласно данным CodeCanyon, плагин был приобретен более 11 тыс. раз. Однако пиратские версии скриптов и плагинов, доступных на CodeCanyon, бесплатно предлагаются на сотнях других сайтов, поэтому число потенциальных жертв может быть намного больше.
Изучение данных атак продолжается. Бэкдоры, с помощью которых выполняются скрытые перенаправления, обычно являются одним из инструментов киберпреступных группировок, управляющих вредоносными ботнетами. Поэтому подобного рода атаки скорее всего будут продолжаться и последствия их могут быть более ощутимыми.
WordPress – система управления содержимым сайта со свободным пограммным обеспечением, написанная на PHP. Использует сервер базы данных MySQL. Сфера ее применения – от блогов до сложных новостных ресурсов и интернет-магазинов.
