Una campaña de malwaretising en curso que se ha dirigido a sitios de WordPress desde julio de 2019, se ha dedicado a redirigir los navegadores a sitios que contienen anuncios dudosos o software malicioso o a algo aún más peligroso. Según el analista de amenazas de la firma de ciberseguridad Defiant Mikey Veenstra, los malos actores están explotando fallas en más de diez complementos de WordPress para crear cuentas administrativas falsas en los sitios de WordPress objetivo.
Gran parte de la campaña sigue siendo la misma, dijo Veenstra. Los atacantes explotan vulnerabilidades conocidas en los complementos de WordPress para inyectar código JavaScript malicioso en las interfaces de los sitios de las víctimas, lo que redirige a los visitantes del sitio a contenido potencialmente dañino. Siempre que sea posible, las cargas útiles se ofuscan en un intento de evitar ser detectados por el software WAF e IDS. Sin embargo, recientemente los atacantes agregaron nuevas vulnerabilidades a la lista de objetivos, a saber, los defectos en los complementos de Bold Page Builder y NinTechNet.
Además, el grupo de hackers detrás de la campaña agregó un script adicional “que intenta instalar una puerta trasera en el sitio objetivo explotando la sesión de un administrador”. El script malicioso intenta crear un nuevo usuario con privilegios de administrador en el sitio de la víctima.
“Si al usuario se le presenta un _wpnonce_create-user nonce cuando visita el sitio wp-admin / user-new.phpendpoint, el script sabe que se puede crear un nuevo usuario. Si este es el caso, se activa la función putmeone (). Esta función realiza una llamada AJAX a través de jQuery que crea la cuenta de administrador no autorizado ”, explicó Veenstra.
La llamada AJAX crea un usuario llamado “wpservices” con el correo electrónico “wpservices@yandex.com” y la contraseña “w0rdpr3ss”. Luego, el atacante puede instalar más puertas traseras o realizar otras actividades maliciosas.
Actualmente, la campaña se dirige a los siguientes complementos:
- Bold Page Builder
- Diseñador de blog
- Chat en vivo con Facebook Messenger
- Publicaciones relacionadas
- Editor de estilo visual CSS
- Formulario de soporte de chat en vivo de WP
- Compositor híbrido Lightbox
Todos los complementos anteriores de NicDark (nd-booking, nd-travel, nd-learning, et. Al.)
Se recomienda a los propietarios de sitios web con WordPress que utilicen cualquiera de los complementos mencionados anteriormente que verifiquen si tienen instaladas las últimas versiones del software. Sin embargo, Veenstra advirtió que “es razonable suponer que cualquier vulnerabilidad de actualización de XSS u opciones no autenticada revelada en un futuro próximo será rápidamente atacada por este actor de amenaza” a medida que la campaña recoge nuevos objetivos con el tiempo.