Виявлено нову шкідливу кампанію, жертвами якої вже стали понад 5000 сайтів під управлінням WordPress. Хакери створюють нові облікові записи адміністраторів, встановлюють на сайти шкідливі плагіни і крадуть дані.

Дослідники з ІБ-компанії c/side виявили цю шкідливу активність під час реагування на інцидент у одного зі своїх клієнтів. Виявилося, що зловмисники використовують домен wp3[.]xyz для «зливу» вкрадених даних і вже зламали понад 5000 сайтів.

Поки невідомо, який вектор зараження використовують зловмисники, і як вони спочатку компрометують WordPress-сайти. Але після злому на сайті розгортається шкідливий скрипт, завантажений з wp3[.]xyz, який створює новий обліковий запис адміністратора wpx_admin, використовуючи жорстко закодовані облікові дані.

Потім скрипт встановлює шкідливий плагін (plugin.php), який завантажує з того ж домену, і активує його на зараженому сайті.

За інформацією c/cide, метою цього плагіна є збір конфіденційних даних (включаючи облікові дані адміністратора і логи) і подальша передача інформації на сервер хакерів в обфусцированном вигляді, щоб все виглядало як звичайний запит.

Фахівці c/side настійно рекомендують власникам сайтів блокувати домен wp3[.]xyz за допомогою брандмауерів та інших захисних рішень. Крім того, адміністраторам рекомендується перевірити привілейовані облікові записи та список встановлених плагінів, а в разі виявлення несанкціонованої активності, видалити плагіни та нових адміністраторів якомога швидше.

Також дослідники радять посилити захист від CSRF за допомогою генерації унікальних токенів і перевірок на стороні сервера. Такі токени повинні мати невеликий термін дії і періодично оновлюватися.