Над 6000 уебсайта, задвижвани от WordPress са под заплаха: Как фалшиви плъгини крадат данни?
Хакерите вграждат злотворен код непосредствено в HTML. Как можете да отбраните ресурсите си?
Емил Василев 11:38 | 22.10.2024 0 СподелиНай-четени
НаукаЕмил Василев - 22:19 | 21.10.2024GPU победи математиката: Открито е рекордно просто число, състоящо се от 41 млн. числа
IT НовиниДаниел Десподов - 11:42 | 19.10.2024Радикалният проект на Русия за потребление на нуклеарна подводница с потенциал 180 000 тона за доставка на природен газ
ТелефониДаниел Десподов - 10:01 | 21.10.2024Xiaomi революционизира смарт телефоните с първия китайски 3nm чип
Емил Василевhttps://www.kaldata.com/Хакери интензивно проникват в уеб сайтове, задвижвани от WordPress, с цел да конфигурират зловредни приставки и да популяризират подправени актуализации, които крият програмен продукт за кражба на данни.
От 2023 година акция, наречена ClearFake заразява уязвими уеб страници, като демонстрира банери с подправени актуализации на браузъра. През тази година се появи ClickFix – нов аналог, който имитира известия за софтуерни неточности с сякаш вградени „ ремонти “. Тези „ ремонти “ задействат PowerShell скриптове, които изтеглят и конфигурират злотворен програмен продукт.
Наскоро ClickFix беше употребен за основаване на подправени вести в известни услуги като Гугъл Chrome, Гугъл Meet и Фейсбук. Хакерите също по този начин подправяли CAPTCHA проби, с цел да убедят потребителите да извършат „ актуализация “.
Миналата седмица GoDaddy заяви, че нападателите са хакнали повече от 6000 уеб страницата на WordPress, с цел да конфигурират подправени приставки, употребявани за инжектиране на тези подправени вести. Изследователят в региона на сигурността Денис Синегубко изясни, че плъгините се маскират като безобидни и даже копират имената на законни разширения като Wordfence Security и LiteSpeed Cache.
Нападателите основават и приставки с подправени имена, в това число Universal Popup Plugin, SEO Booster Pro и Custom CSS Injector. Тези приставки инжектират зловредни JavaScript скриптове в HTML кода на уебсайтовете, което води до проявление на подправени вести.
Анализът на дневниците на уеб сървърите демонстрира, че хакерите употребяват откраднати идентификационни данни на админа, с цел да влизат в уеб страниците по автоматизиран метод. Хакването се прави посредством единична POST поръчка, като се заобикаля общоприетата страница за влизане, което демонстрира, че идентификационните данни са получени авансово.
Причините за приключването на данните остават неразбираеми, само че откривателите допускат, че те може да са получени посредством фишинг, bruteforce офанзиви или злотворен програмен продукт. Ако бъдат открити подправени вести, на админите на уеб сайтове се предлага неотложно да ревизират листата с приставки, да отстранен подозрителните и да сменят паролите си.
