Hackers exploram plugins WordPress recentes para fazer Malvertising

A equipe do Wordfence detectou uma campanha onde Hackers exploram plugins WordPress recentes para fazer Malvertising. Confira os detalhes dessa ameaça.

O Malvertising é simplesmente o uso de publicidade on-line para espalhar malware. Ele geralmente envolve a inserção de anúncios maliciosos ou carregados de malware em redes e páginas da Web legítimas de publicidade on-line.

Hackers exploram plugins WordPress recentes para fazer Malvertising
Hackers exploram plugins WordPress recentes para fazer Malvertising

Hackers exploram plugins WordPress recentes para fazer Malvertising

De acordo com a equipe de inteligência contra ameaças da Wordfence, uma campanha de malvertising em andamento está direcionando uma vulnerabilidade de scripting entre sites (XSS) armazenada não autenticada no plug-in WordPress em breve em modo de manutenção e página.

A falha agora corrigida permite que invasores não autenticados injetem código JavaScript ou HTML no front-end do blog de sites WordPress que executam a versão 1.7.8 ou inferior do plug-in.

A campanha de malvertising detectada pelo Wordfence faz com que sites comprometidos do WordPress “exibam anúncios pop-up indesejados e redirecionem os visitantes para destinos mal-intencionados, incluindo golpes de suporte técnico, APKs mal-intencionados do Android e anúncios farmacêuticos incompletos”.

O payload do JavaScript usado para infectar os sites carregará códigos adicionais de outros domínios de terceiros para construir toda a carga maliciosa executada pelos visitantes de sites infectados.
 
Em cada execução de carga útil, os alvos serão automaticamente redirecionados para um segundo domínio que os envia para uma terceira URL de destino com base no tipo de dispositivo que o visitante usa, verificando a string User-Agent do navegador, com um cookie também usado para rastrear as vítimas que retornam.

A equipe do Wordfence diz que:

“Os sites de destino eventuais variam em escopo e intenção. Alguns redireciona os usuários da terra em anúncios ilegítimos típicos para produtos farmacêuticos e pornografia, enquanto outros tentam atividade maliciosa direta contra o navegador do usuário.”

Os invasores também aproveitam os anúncios pop-up como um método alternativo para abusar de seus alvos, com injeções de código provenientes de sites comprometidos anteriormente, bem como scripts baseados em JavaScript armazenados em sites infectados usados ​​como parte dessa campanha de publicidade mal intencionada para injetar os anúncios.

E a Wordfence ainda acrescentou que:

“Depois que tudo for acionado, o navegador da vítima abrirá um endereço selecionado em uma nova guia na próxima vez em que clicar ou tocar na página.”

Ataques XSS lançados via webshells

Os ataques de injeção XSS lançados pelos agentes de ameaça que operam esta campanha são originários de endereços IP conectados a provedores de hospedagem populares, shells PHP ofuscados com funcionalidade limitada sendo empregados pelos atacantes para iniciar ataques XSS por proxy através de comandos arbitrários.

Os invasores estão “usando uma pequena variedade de sites comprometidos para executar esses ataques para ocultar a origem de suas atividades” e provavelmente “aproveitarão quaisquer vulnerabilidades semelhantes de XSS que possam ser divulgadas em um futuro próximo”, conclui a Wordfence.

Mais detalhes sobre o funcionamento interno desses ataques, bem como os indicadores de comprometimento (IOCs), incluindo hashes de malware, domínios e endereços IP de ataque, são fornecidos pela equipe do Defiance Threat Intelligence no final do relatório de campanha de malvertising.

Essa não é uma campanha nova, com campanhas semelhantes explorando vulnerabilidades nos plug-ins de Social Warfare, Yellow Pencil Visual Theme Customizer, Easy WP SMTP e Yuzo Related Posts instalados em dezenas de milhares de sites do WordPress.

No caso desses ataques, os exploits também estavam usando scripts maliciosos hospedados em um domínio controlado por um invasor, com o mesmo ator malvado por trás de todas as quatro campanhas.

Em dezembro de 2018, uma grande rede de bots, composta por mais de 20.000 sites do WordPress, foi usada para atacar e infectar outros sites do WordPress que também foram adicionados à botnet, uma vez comprometida.

A botnet foi usada por seus operadores para forçar os logins de outros sites WordPress, com mais de 5 milhões de tentativas de força bruta de autenticação sendo bloqueadas e mais de 14.000 servidores proxy usados ​​para anonimizar seus comandos C2 sendo detectados durante os ataques.

Via Bleeping Computer

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.