Злоумышленники атакуют сайты на WordPress, создавая бэкдор-аккаунты

Злоумышленники атакуют сайты на WordPress, создавая бэкдор-аккаунты

Киберпреступники серьезно взялись за атаки сайтов на движке WordPress. Для этого они используют бреши более чем в десяти плагинах, что в результате позволяет им создать бэкдор-аккаунты на уязвимых ресурсах.

Эта вредоносная кампания стартовала в прошлом месяце, а сейчас только набирает обороты. Изначально атакующие размещали на сайтах злонамеренный код, отображающий рекламные всплывающие окна или же перенаправляющий пользователей на другие ресурсы.

Однако две недели назад киберпреступная группа немного поменяла свою тактику. Злоумышленники переписали код таким образом, что теперь он проверяет, есть ли у зашедшего на сайт пользователя возможность создания аккаунта на ресурсе (функция, доступная администраторам учетных записей в движке WordPress).

Проще говоря, данный код просто выжидал, пока на взломанный сайт зайдёт его владелец. Если это условие удовлетворялось, вредонос создавал новый аккаунт под именем wpservices. В качестве адреса электронной почты использовался [email protected], а паролем выступал «w0rdpr3ss».

Таким образом, злоумышленники получали возможность выполнять определённые действия от лица этого аккаунта.

По словам экспертов, киберпреступники используют в атаках уязвимости следующих плагинов:

  • Bold Page Builder
  • Blog Designer
  • Live Chat with Facebook Messenger
  • Yuzo Related Posts
  • Visual CSS Style Editor
  • WP Live Chat Support
  • Form Lightbox
  • Hybrid Composer
  • All former NicDark plugins

Полностью очистить уже взломанный сайт может быть проблематично. Но специалисты советуют проверить наличие злонамеренной учетной записи и обновить установленные плагины.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кросс-платформенный бэкдор PupyRAT атакует энергетический сектор Европы

Киберпреступники атакуют ключевые организации энергетического сектора Европы. В ходе кампаний используется бэкдор, который принято связывать с иранскими правительственными кибергруппировками.

О серьёзных атаках сообщили эксперты из Recorded Future: опасная вредоносная программа, ранее используемая иранскими хакерами, атакует европейский энергетический сектор.

Речь идёт о PupyRAT, кросс-платформенном RAT-трояне, который способен устанавливаться в системы Windows, Linux, macOS и Android. Основная часть кода PupyRAT написана на Python, после установки он открывает атакующему полный доступ к системе жертвы.

Неудивительно, что некие киберпреступники используют именно этот бэкдор, ведь его исходный код доступен любому на GitHub. В прошлом PupyRAT использовали две группировки: APT33 (также известна под именами Elfin, Magic Hound и HOLMIUM) и APT34 (OilRIG). Эти группы тоже атаковали энергетический сектор.

Команда Recorded Future обнаружила вредоносный трафик между установленным в системах организаций PupyRAT и командным сервером (C&C). Этот обмен данными, в который был вовлечён почтовый сервер одной европейской организации энергетического сектора, проходил с ноября 2019 года по 5 января 2020-го.

Исследователям не удалось связать эти атаки с иранскими хакерами — для этого не нашлось нужного количества доказательств.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru