Uma nova campanha de malware comprometeu mais de 5.000 sites WordPress para criar contas de admin, instalar um plugin malicioso e roubar dados.
Pesquisadores da empresa de segurança de scripts web c/side descobriram, durante um atendimento de resposta a incidentes para um de seus clientes, que a atividade maliciosa usa o domínio wp3[.]xyz para exfiltrar dados, mas ainda não determinaram o vetor de infecção inicial.
Após comprometer um alvo, um script malicioso carregado do domínio wp3[.]xyz cria a conta de admin fraudulenta wpx_admin com credenciais disponíveis no código.
O script então prossegue para instalar um plugin malicioso (plugin.php) baixado do mesmo domínio e o ativa no site comprometido.
De acordo com c/side, o propósito do plugin é coletar dados sensíveis, como credenciais de administrador e logs, e enviá-los ao servidor do atacante de maneira ofuscada, fazendo parecer uma requisição de imagem.
O ataque também envolve várias etapas de verificação, como registrar o status da operação após a criação da conta de admin fraudulenta e verificar a instalação do plugin malicioso.
c/side recomenda que os proprietários de sites bloqueiem o domínio ‘wp3[.]xyz’ usando firewalls e ferramentas de segurança.
Além disso, administradores devem revisar outras contas privilegiadas e a lista de plugins instalados, para identificar atividades não autorizadas, e removê-las o mais rápido possível.
Por fim, é recomendado que as proteções contra CSRF em sites WordPress sejam fortalecidas através da geração de tokens únicos, validação do lado do servidor e regeneração periódica.
Os tokens devem ter um tempo de expiração curto para limitar seu período de validade.
Implementar autenticação de múltiplos fatores também adiciona proteção a contas cujas credenciais já foram comprometidas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...