Search the Community
Showing results for tags 'wordpress'.
-
Исследователи безопасности из компании Check Point, обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой заражается порядка 40 тыс. устройств каждую неделю. Как полагают специалисты, операторы данной кампании объединились с рекламной сетью и реселлерами для перенаправления жертв на мошеннические сайты, распространяющие вымогательское ПО, банковские трояны и другие вредоносы. Данная схема получила название Master134 по аналогии с адресом главного С&C-сервера кампании. Согласно докладу, изначально мошенники взламывают сайты WordPress. Исследователи обнаружили более 10 тыс. сайтов, скомпрометированных в ходе данной кампании. На всех взломанных сайтах работает система управления контентом WordPress версии 4.7.1, в которой существует критическая уязвимость, позволяющая злоумышленникам удаленно выполнить код. Взломав сайт, атакующие размещают на нем рекламные объявления, перенаправляющие пользователей на портал Master134. Роль сервиса Master134 заключалась в том, чтобы продвигать рекламные места в рекламной сети AdsTerra под учетной записью издателя. Данные рекламные места затем скупались злоумышленниками для перенаправления жертв на вредоносные ресурсы. По словам исследователей, почти все рекламные места покупались через реселлера AdsTerra. В числе покупателей значатся операторы наборов эксплоитов (RIG, Magnitude, GrandSoft, FakeFlash), систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) и мошеннических сайтов, маскирующихся под техподдержку. «Похоже, что сотрудничество между различными группами злоумышленников успешно поддерживается через сторонние рекламные сети, самой крупной из которых является AdsTerra», - отметили специалисты. «Основываясь на наших выводах, мы предполагаем, что злоумышленники платят Master134 напрямую. Master134 затем платит рекламной сети, чтобы перенаправить трафик и, возможно, даже скрыть его происхождение», - добавили они.
-
- злоумышленники
- взломали
-
(and 8 more)
Tagged with:
-
Эксперты компании Wordfence обнаружили очередные три плагина для WordPress с бэкдорами. Речь идет о версиях плагинов Duplicate Page and Post 2.1.0, No Follow All External Links 2.1.0 и WP No External Links 4.2.1. Первый из них имеет свыше 50 тыс. активных установок, второй – более 9 тыс. и третий – свыше 30 тыс. 14-22 декабря команда WordPress удалила их из директории плагинов WordPress. Вредоносный код в трех вышеупомянутых плагинах работает очень похоже, поэтому можно сделать вывод, что их новыми владельцами является одно и то же лицо или лица. Вредонос вызывает удаленный сервер и внедряет на сайты сторонний контент и ссылки. По мнению экспертов, код используется для внедрения SEO-спама с целью повысить позицию в поисковой выдаче других сайтов. В сентябре прошлого года сообщалось о бэкдорах в версиях Display Widgets 2.6.1 и 2.6.3. Команда WordPress удалила их из директории плагинов WordPress, однако к тому времени обновить плагин до вредоносной версии успели более 200 тыс. пользователей. Кроме того, по данным компании White Fir Design, несколько сотен сайтов продолжают использовать 14 вредоносных плагинов WordPress спустя почти три года после выявления в них вредоносного кода.
-
Порядка 5 500 сайтов WordPress заражены вредоносным скриптом, считывающим нажатия клавиш пользователя и в ряде случаев загружающим браузерный майнер криптовалюты. Об этом сообщили эксперты по кибербезопасности из компании Sucuri. Вредоносный скрипт загружается с домена cloudflare.solutions (никак не связан с компанией Cloudflare). Скрипт считывает все данные, которые пользователь вводит в поле формы. Скрипт загружается как в интерфейсе сайта, так и на сервере, позволяя злоумышленникам похищать логины и пароли при авторизации в панели администратора сайта. Скрипт также опасен и для рядовых пользователей. Хотя на большинстве сайтов WordPress единственным местом, где вредонос может похитить пользовательские данные, являются поля комментариев, некоторые сайты WordPress настроены для работы в качестве интернет-магазинов. В таких случаях злоумышленники могут похитить данные кредитной карты и другую конфиденциальную информацию пользователя. Как пояснили исследователи, хакерам удалось скомпрометировать сайты WordPress и внедрить вредоносный скрипт в файл functions.php - стандартный файл, присутствующий во всех темах WordPress. Исследователи обнаружили по меньшей мере три разных вредоносных скрипта, размещенных на домене cloudflare.solutions. Один из них использовался злоумышленниками в апреле текущего года для встраивания рекламных баннеров на взломанные сайты посредством вредоносного файла JavaScript. В ноябре те же хакеры изменили тактику и загрузили вредоносные скрипты, замаскированные под фальшивые библиотеки jQuery и файлы Google Analytics, которые на самом деле были разновидностью браузерного майнера криптовалюты Coinhive. К концу ноября вредоносная кампания затронула 1833 сайта. В ходе новой вредоносной кампании к майнеру криптовалюты был добавлен кейлоггер. По имеющимся данным, жертвами кампании стали 5496 сайтов.
-
Финский исследователь Йоуко Пюнненен обнаружил ряд уязвимостей в популярном плагине Formidable Forms для WordPress, позволяющих злоумышленнику получить доступ к конфиденциальным данным и перехватить контроль над целевым ресурсом. Самая опасная из них – уязвимость типа Blind SQL-injection (слепая SQL-инъекция), проэксплуатировав которую атакующие могут получить доступ к контенту баз данных целевого сайта, в том числе учетным данным и информации, введенной через формы, созданные с помощью Formidable Forms. Помимо указанной, исследователь обнаружил еще одну уязвимость, позволяющую получить доступ к данным. Обе проблемы связаны с реализацией в плагине шорткодов (shortcode) WordPress – специальных кодов, позволяющих владельцам сайтов добавлять различный контент. В числе прочих Пюнненен выявил несколько XSS-уязвимостей, одна из которых позволяла атакующему выполнить произвольный код JavaScript в контексте сессии администратора в браузере. Эксперт также заметил, что при наличии плагина iThemes Sync WordPress атакующий может проэксплуатировать вышеописанную уязвимость, позволяющую внедрить SQL-код, и получить идентификатор пользователя и ключ для аутентификации. Данная информация может использоваться для управления сайтом через iThemes Sync WordPress, в том числе добавления новых администраторов или установки плагинов. Разработчик Formidable Forms устранил уязвимости с выпуском версий 2.05.02 и 2.05.03. Авторы iThemes Sync не рассматривают описанный исследователем вектор атаки как угрозу безопасности и потому не намерены выпускать патч. Formidable Forms - плагин для создания контактных форм. Включает в себя расширенные возможности для создания сообщений, страниц и пользовательских типов сообщений с формами, а также возможность управлять и редактировать их. По имеющимся данным, число пользователей плагина превышает 200 тыс.
-
- уязвимости
- плагине
-
(and 7 more)
Tagged with:
-
Неизвестный хакер внедрил бэкдор в исходный код плагина для WordPress, маскирующегося под средство защиты от спама под названием X-WP-SPAM-SHIELD-PRO. По всей видимости, злоумышленник пытался использовать репутацию популярного инструмента для защиты от спама WordPress WP-SpamShield Anti-Spam. Поддельный плагин содержит бэкдор, позволяющий хакеру создать собственную учетную запись администратора на атакованном сайте, загрузить файлы на серверы жертвы, отключить все плагины и пр. Вредоносное поведение распространяется на все файлы поддельного плагина. В частности, файл class-social-facebook.php маскируется под средство защиты от спама в социальных сетях и отправляет злоумышленнику список плагинов пользователя и при необходимости отключает их. Цель отключения всех плагинов заключается в том, чтобы деактивировать все плагины, блокирующие доступ к функциям авторизации или детектирующие попытки неавторизованного входа. Файлы class-term-metabox-formatter.php и class-admin-user-profile.php отправляют злоумышленнику информацию о версии WordPress и список всех пользователей с правами администратора. Plugin-header.php добавляет учетную запись с правами администратора под именем mw01main. Файл wp-spam-shield-pro.php связывается с сервером хакера, расположенном на mainwall.org, осведомляя его об установке вредоносного плагина новым пользователем. Информация, передаваемая этим файлом, включает учетные данные, URL-адрес зараженного сайта и IP-адрес сервера. Wp-spam-shield-pro.php также содержит вредоносный код, позволяющий злоумышленнику загрузить на сайт жертвы ZIP-архив, распаковать его и исполнить хранящиеся внутри файлы. Как полагают эксперты по безопасности из компании Sucuri, для распространения фальшивки злоумышленник использовал скомпрометированную версию известного пакета плагинов для Wordpress All In One SEO Pack. Злоумышленник не публиковал плагин в официальном репозитории WordPress, распространяя его через другие источники. Напомним, ранее бэкдор был обнаружен в еще одном плагине для Wordpress - Display Widgets. Вредоносный код был выявлен в версиях Display Widgets 2.6.1 и Display Widgets 2.6.3. К моменту, когда команда WordPress удалила вредоносные версии плагина из официального репозитория, их уже успело установить более 200 тыс. пользователей.
-
Эксперты компании Wordfence обнаружили новый тип web-атак, в ходе которых злоумышленники используют незавершенные инсталляции WordPress. То есть, атаки основываются на сайтах, куда пользователи уже загрузили систему управления контентом (CMS) WordPress, нот так и не установили ее до конца. Такие ресурсы открыты для внешних подключений, и кто угодно может получить доступ к панели установки и завершить процесс инсталляции CMS. По данным Wordfence, с конца мая и до середины июня текущего года резко возросло число сканирований интернета на наличие инсталляций WordPress с установочным файлом. Исследователи обнаружили как минимум одного хакера, получившего доступ к сайту, где CMS не была установлена до конца. Неизвестный загрузил пароль и логин своей собственной базы данных и завершил процесс инсталляции. Таким образом, он обеспечил себе возможность управлять сайтом через заново созданную учетную запись администратора и через редактор файлов внедрять и выполнять вредоносный код для получения контроля над чужим сервером. Злоумышленник также установил собственный плагин для выполнения вредоносного кода. Одновременно с ростом числа сканирований в июне 2017 года увеличилось количество атак на сайты под управлением WordPress. Чаще всего атаки осуществлялись с IP-адресов в России, Украине и США.
-
- хакеры
- используют
-
(and 5 more)
Tagged with:
-
Специалисты компании Sucuri обнаружили новый вид вредоносного ПО, перехватывающего файлы cookie, в легитимном файле JavaScript, маскирующемся под домен WordPress. Для создания фиктивного домена code.wordprssapi[.]com злоумышленники использовали технику под названием тайпсвоттинг (регистрация доменов, схожих написанием с уже раскрученными сайтами), также известную как перехват URL. Практика часто применяется киберпреступниками с целью привлечь посетителей на свои ресурсы в расчете на то, что пользователи ошибутся при вводе адреса какого-либо популярного сайта. В данном случае фальшивый сайт выглядит как настоящий домен WordPress и не вызывает подозрений.По словам аналитика Sucuri Сезара Анхоса, злоумышленники внедрили вредоносный код в файл JavaScript, предназначенный для перенаправления конфиденциальной информации, такой как файлы cookie, на фальшивый домен. По всей вероятности, для внедрения обфусцированного кода атакующие проэксплуатировали одну из уязвимостей в платформе WordPress. «Современные преступники редко используют одну уязвимость. Обычно они ищут многочисленные известные уязвимости (в основном в темах и плагинах сторонних производителей), а затем эксплуатируют то, что находят», - пояснил старший аналитик Sucuri Денис Синегубко. В ходе анализа кода Анхос обнаружил условный оператор, исключающий cookie-файлы из поля User-Agent поисковых роботов. Данная мера позволяет скрипту отсеять данные cookie и отправлять злоумышленникам только ценную информацию. Похитив файлы cookie пользователя, атакующий под его видом может выполнять различные действия по крайней мере до тех пор, пока разрешения пользователя не будут отозваны. В настоящее время исследователям неизвестно, кто может стоять за вышеописанной атакой.
-
- вредоносное
- для
- (and 4 more)
-
Эксперты ИБ-компании WordFence обнаружили вредоносную кампанию, в ходе которой хакеры взламывают слабо защищенные домашние маршрутизаторы. Злоумышленники используют скомпрометированные устройства для осуществления брутфорс-атак на панели администрирования сайтов под управлением WordPress. Таким образом киберпреступники пытаются вычислить учтенные данные администраторов и получить контроль над атакуемыми ресурсами. В подобных атаках маршрутизаторы играют ключевую роль, поскольку позволяют осуществлять брутфорс-атаки с тысяч разных IP-адресов в обход межсетевых экранов и их «черных» списков. Злоумышленники получают контроль над устройствами, эксплуатируя две уязвимости в протоколе TR-069 путем отправки вредоносных запросов через порт 7547. С целью не привлекать внимания к атакам, с каждого маршрутизатора осуществляется только несколько попыток взломать пароль. Размер ботнета пока неизвестен. Эксперты также не исключают существования нескольких подобных ботсетей. По данным исследователей, 6,7% всех атак на сайты под управлением WordPress в марте 2017 года пришлось на маршрутизаторы с открытым портом 7547. В ходе атак были задействованы сети 28 интернет-провайдеров по всему миру. Среди клиентов 14 из них большой популярностью пользуются маршрутизаторы с открытым портом 7547, в частности ZyXEL ZyWALL 2. В конце прошлого года злоумышленник пытался взломать около 1 млн устройств в сетях интернет-провайдеров в Германии и Великобритании. Большинство атакуемых маршрутизаторов были ZyXEL. Хакер намеревался подключить взломанные устройства к ботнету Mirai, арендованному им для осуществления DDoS-атак.
-
Исследователи компании SiteLock обнаружили вредоносный плагин WordPress под названием WP-Base-SEO, подделанный под настоящий инструмент для поисковой оптимизации WordPress SEO Tools. На первый взгляд файл кажется вполне легитимным, включая ссылку на базу данных плагинов WordPress и техническую документацию. Однако в ходе более подробного анализа эксперты обнаружили зашифрованный с использованием base64 запрос eval. Eval представляет собой популярную у киберпреступников PHP-функцию, выполняющую произвольный PHP-код. Из-за частого применения хакерами php.net рекомендовал полностью отказаться от ее использования. Директория плагина содержит два файла. Один из них, wp-sep.php, использует различные функции и имена в зависимости от установки. Второй, wp-seo-main.php, использует «родной» функционал WordPress для присоединения запроса eval к «шапке» сайта. С его помощью злоумышленники получают доступ к ресурсу. Как пояснили эксперты, инициализация запроса происходит при каждой загрузке темы в браузере. Исследователи обнаружили множество сайтов с установленным вредоносным плагином. Тем не менее, поиск по названию WP-Base-SEO не предоставляет никакой информации. Из этого следует, что данное вредоносное ПО в настоящее время практически не детектируется.
-
- вредоносный
- плагин
-
(and 6 more)
Tagged with:
-
Как ранее сообщал SecurityLab, в системе управления контентом (CMS) WordPress была обнаружена опасная уязвимость, позволяющая осуществлять SQL-инъекции. Команда поддержки WordPress выпустила обновления, однако сообщила об этом общественности не сразу. Разработчики отложили раскрытие подробностей об уязвимости на одну неделю с целью дать время администраторам установить обновления. Несмотря на все попытки разработчиков максимально обезопасить пользователей, администраторы сайтов под управлением WordPress не спешат устанавливать патч. В CMS по умолчанию активирована функция автоматической установки обновлений, однако многие администраторы отключают ее. Они предпочитают сначала протестировать патч и только потом устанавливают его. В результате тысячи сайтов по-прежнему в опасности, поскольку хакеры уже эксплуатируют уязвимость. Как сообщают исследователи компании Sucuri, первыми обнаружившие проблему, злоумышленники начали осуществлять атаки с использованием данной уязвимости менее чем через 48 часов после публикации ее описания. Эксперты зафиксировали по меньшей мере четыре отдельные вредоносные кампании. В ходе одной из них хакеры успешно заменили контент свыше 66 тыс. web-страниц, оставив сообщение «Hacked by» («Взломано»). Во время остальных операций в общей сложности было взломано порядка 1 тыс. страниц. Помимо дефейса, подобные атаки могут использоваться для повышения позиции сайтов в поисковой выдаче и рассылки спама.