Os plugins do WordPress OptinMonster, TrustPulse e PushEngage foram comprometidos em um ataque à cadeia de suprimentos que afetou a rede de distribuição de conteúdo, ou CDN, da Awesome Motive.
Entre os três produtos, a plataforma de geração de leads e otimização de conversão OptinMonster é a mais popular, com pelo menos 1,2 milhão de sites usando a solução.
A empresa de segurança para comércio eletrônico Sansec descobriu o ataque no fim de semana e identificou que scripts maliciosos foram entregues a usuários desavisados do OptinMonster e do TrustPulse na sexta-feira, entre 22h17 e 22h42, no horário UTC.
O PushEngage continuou a distribuir código JavaScript malicioso até 19h02 de sábado, também em UTC.
O malware só era acionado quando um administrador do WordPress visitava uma página em um site infectado.
Nesse momento, ele coletava tokens de autenticação e nonces e usava essas informações para criar uma conta de administrador fraudulenta.
Em seguida, os invasores instalaram um plugin backdoor oculto e estabeleceram um canal de comunicação com um domínio que imitava o Tidio para enviar quaisquer novos dados capturados.
O plugin também oferecia recursos completos de acesso remoto, incluindo um shell web, identificado como “WPM File Manager & Shell”, e execução arbitrária de código PHP, dando aos atacantes controle total sobre os sites comprometidos.
“O operador alterna o disfarce do plugin enquanto mantém a lógica byte a byte idêntica entre as renomeações”, disse a Sansec.
“Observamos o envio dele como ‘Content Delivery Helper’ (content-delivery-helper, v2.7.1) e, atualmente, como ‘Database Optimizer’ (database-optimizer, v2.9.4).”
A Awesome Motive publicou hoje mais cedo um aviso de segurança sobre o incidente e explicou que hackers conseguiram acesso a um servidor em seu ambiente após explorar uma falha conhecida no plugin UpdraftPlus, do WordPress.
Esse servidor hospedava um site de marketing e não estava conectado à infraestrutura de produção nem aos sistemas de dados da empresa.
Ainda assim, ele armazenava credenciais da conta de CDN da companhia, que foram roubadas pelos hackers.
Com a chave de API da CDN furtada, os atacantes alteraram arquivos JavaScript distribuídos pela CDN da Awesome Motive, fazendo com que os sites carregassem silenciosamente código malicioso diretamente da rede de distribuição.
Os arquivos afetados são:
a.omappapi.com/app/js/api.min.js, do OptinMonster
a.opmnstr.com/app/js/api.min.js, do OptinMonster
a.optnmstr.com/app/js/api.min.js, do OptinMonster
a.trstplse.com/app/js/api.min.js, do TrustPulse
A Awesome Motive informou que os scripts maliciosos foram distribuídos por um curto período em 12 de junho para o OptinMonster e o TrustPulse, embora não tenha confirmado o impacto sobre o PushEngage.
“Desde então, corrigimos o site de marketing, migramos para um novo servidor e rotacionamos todas as credenciais, incluindo a chave de API da CDN”, afirmou a empresa.
A companhia também garantiu que seus servidores de aplicação, o código-fonte e os servidores de hospedagem dos plugins não foram comprometidos.
“Nossos servidores de aplicação, nosso código-fonte e os sistemas que armazenam as informações da conta do OptinMonster e do TrustPulse são hospedados separadamente e não foram invadidos”, disse a empresa.
“Não temos evidências de que dados de contas ou informações pessoais sob nossa guarda tenham sido acessados.”
Os administradores de sites que possam ter sido afetados devem:
Verificar e remover contas de administrador fraudulentas chamadas “developer_api1” ou “dev_xxxxxx”
Inspecionar diretamente o sistema de arquivos em wp-content/plugins em busca de plugins backdoor ocultos
Executar varreduras de malware no lado do servidor
Rotacionar senhas de administrador, chaves de API, credenciais de banco de dados e os salts de segurança do WordPress
Embora o conteúdo malicioso já tenha sido removido, o invasor ainda pode manter acesso aos sites comprometidos enquanto as contas de administrador fraudulentas e os plugins backdoor ocultos continuarem presentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...