Κάποιοι ερευνητές της Defiant ανακάλυψαν μια νέα malvertising εκστρατεία, η οποία χρησιμοποιεί ευπάθειες του WordPress, για να μολύνει websites με κακόβουλο λογισμικό.
Οι hackers εκμεταλλεύονται γνωστές ευπάθειες, που έχουν εντοπιστεί σε δημοφιλή πρόσθετα του WordPress, όπως τα “Coming Soon and Maintenance Mode”, «Yellow Pencil Visual CSS Style Editor» και «Blog Designer». Τα συγκεκριμένα πρόσθετα είναι εγκατεστημένα σε χιλιάδες websites.
Οι hackers εγκαθιστούν ένα μικρό κομμάτι κώδικα JavaScript, το οποίο εγκαθιστά πρόσθετο κακόβουλο κώδικα από ένα εξωτερικό domain και τον εκτελεί κάθε φορά, που οι επισκέπτες περιηγούνται στο παραβιασμένο site.
H malvertising εκστρατεία, που εντοπίστηκε από την ομάδα της Defiant προκαλεί την εμφάνιση ανεπιθύμητων pop-up διαφημίσεων σε sites και την ανακατεύθυνση των χρηστών σε κακόβουλους προορισμούς.
Στη αρχή, τα θύματα οδηγούνται σε ένα domain, που ελέγχει τον τύπο της συσκευής του επισκέπτη. Έπειτα, ο κακόβουλος κώδικας τους ανακατευθύνει σε κακόβουλους προορισμούς, που μπορούν να περιλαμβάνουν απάτες τεχνικής υποστήριξης, sites με κακόβουλα Android APKs και διάφορες διαφημίσεις.
Για τη πραγματοποίηση της εκστρατείας, οι hackers χρησιμοποίησαν cross-site scripting (XSS) ευπάθειες, που είχαν εντοπιστεί στο Blog Designer και Coming Soon and Maintenance Mode, και ένα ζήτημα, που σχετιζόταν με τον έλεγχο ταυτότητας, που είχε εντοπιστεί στο Yellow Pencil.
“Η ευπάθεια του Yellow Pencil θα μπορούσε να επιτρέψει στους επιτιθέμενους να πάρουν τον πλήρη έλεγχο ενός site», δήλωσαν οι ερευνητές.
Η συγκεκριμένη ευπάθεια είχε χρησιμοποιηθεί και σε μια άλλη hacking εκστρατεία τον Απρίλιο.
Η ευπάθεια εντοπίζεται στο αρχείο yellow-pencil.php και μπορεί να δώσει στον επιτιθέμενο δικαιώματα διαχειριστή.
Όσον αφορά στις cross-site scripting (XSS) ευπάθειες, οι περισσότερες, που εντοπίστηκαν σε αυτήν την εκστρατεία, στέλνονταν από διευθύνσεις IP που συνδέονταν με δημοφιλείς hosting providers.
