A equipe do Wordfence detectou uma campanha onde Hackers exploram plugins WordPress recentes para fazer Malvertising. Confira os detalhes dessa ameaça.
O Malvertising é simplesmente o uso de publicidade on-line para espalhar malware. Ele geralmente envolve a inserção de anúncios maliciosos ou carregados de malware em redes e páginas da Web legítimas de publicidade on-line.
Hackers exploram plugins WordPress recentes para fazer Malvertising
De acordo com a equipe de inteligência contra ameaças da Wordfence, uma campanha de malvertising em andamento está direcionando uma vulnerabilidade de scripting entre sites (XSS) armazenada não autenticada no plug-in WordPress em breve em modo de manutenção e página.
A falha agora corrigida permite que invasores não autenticados injetem código JavaScript ou HTML no front-end do blog de sites WordPress que executam a versão 1.7.8 ou inferior do plug-in.
A campanha de malvertising detectada pelo Wordfence faz com que sites comprometidos do WordPress “exibam anúncios pop-up indesejados e redirecionem os visitantes para destinos mal-intencionados, incluindo golpes de suporte técnico, APKs mal-intencionados do Android e anúncios farmacêuticos incompletos”.
O payload do JavaScript usado para infectar os sites carregará códigos adicionais de outros domínios de terceiros para construir toda a carga maliciosa executada pelos visitantes de sites infectados.
Em cada execução de carga útil, os alvos serão automaticamente redirecionados para um segundo domínio que os envia para uma terceira URL de destino com base no tipo de dispositivo que o visitante usa, verificando a string User-Agent do navegador, com um cookie também usado para rastrear as vítimas que retornam.
A equipe do Wordfence diz que:
“Os sites de destino eventuais variam em escopo e intenção. Alguns redireciona os usuários da terra em anúncios ilegítimos típicos para produtos farmacêuticos e pornografia, enquanto outros tentam atividade maliciosa direta contra o navegador do usuário.”
Os invasores também aproveitam os anúncios pop-up como um método alternativo para abusar de seus alvos, com injeções de código provenientes de sites comprometidos anteriormente, bem como scripts baseados em JavaScript armazenados em sites infectados usados como parte dessa campanha de publicidade mal intencionada para injetar os anúncios.
E a Wordfence ainda acrescentou que:
“Depois que tudo for acionado, o navegador da vítima abrirá um endereço selecionado em uma nova guia na próxima vez em que clicar ou tocar na página.”
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE
Ataques XSS lançados via webshells
Os ataques de injeção XSS lançados pelos agentes de ameaça que operam esta campanha são originários de endereços IP conectados a provedores de hospedagem populares, shells PHP ofuscados com funcionalidade limitada sendo empregados pelos atacantes para iniciar ataques XSS por proxy através de comandos arbitrários.
Os invasores estão “usando uma pequena variedade de sites comprometidos para executar esses ataques para ocultar a origem de suas atividades” e provavelmente “aproveitarão quaisquer vulnerabilidades semelhantes de XSS que possam ser divulgadas em um futuro próximo”, conclui a Wordfence.
Mais detalhes sobre o funcionamento interno desses ataques, bem como os indicadores de comprometimento (IOCs), incluindo hashes de malware, domínios e endereços IP de ataque, são fornecidos pela equipe do Defiance Threat Intelligence no final do relatório de campanha de malvertising.
Essa não é uma campanha nova, com campanhas semelhantes explorando vulnerabilidades nos plug-ins de Social Warfare, Yellow Pencil Visual Theme Customizer, Easy WP SMTP e Yuzo Related Posts instalados em dezenas de milhares de sites do WordPress.
No caso desses ataques, os exploits também estavam usando scripts maliciosos hospedados em um domínio controlado por um invasor, com o mesmo ator malvado por trás de todas as quatro campanhas.
Em dezembro de 2018, uma grande rede de bots, composta por mais de 20.000 sites do WordPress, foi usada para atacar e infectar outros sites do WordPress que também foram adicionados à botnet, uma vez comprometida.
A botnet foi usada por seus operadores para forçar os logins de outros sites WordPress, com mais de 5 milhões de tentativas de força bruta de autenticação sendo bloqueadas e mais de 14.000 servidores proxy usados para anonimizar seus comandos C2 sendo detectados durante os ataques.
O que está sendo falado no blog
- Mesa 19.1.4 lançado com pequenas correções e melhorias
- NetBeans 11.1 lançado – Confira as novidades e veja como instalar
- Mesa 19.1.3 lançado com correções para os drivers Intel e Radeon Vulkan
- Hackers exploram plugins WordPress recentes para fazer Malvertising
- Dicas de coisas para fazer depois de instalar o Ubuntu 19.04