Μια νέα καμπάνια malware γνωστή ως WP3.XYZ, έχει θέσει σε κίνδυνο περισσότερους από 5.000 ιστότοπους WordPress με τη δημιουργία λογαριασμών διαχειριστή, την εγκατάσταση μιας κακόβουλης προσθήκης και την κλοπή δεδομένων.
Δείτε επίσης: WordPress Skimmers κλέβουν πιστωτικές κάρτες μέσω κακόβουλου JavaScript

Ερευνητές στην εταιρεία ασφάλειας webscript c/side ανακάλυψαν κατά τη διάρκεια μιας δέσμευσης απόκρισης περιστατικού για έναν από τους πελάτες τους, ότι το malware χρησιμοποιεί τον τομέα wp3.xyz για την εξαγωγή δεδομένων, αλλά δεν έχουν ακόμη καθορίσει τον αρχικό φορέα μόλυνσης.
Μετά την παραβίαση ενός στόχου, ένα κακόβουλο σενάριο που φορτώνεται από τον τομέα wp3.xyz δημιουργεί τον δόλιο λογαριασμό διαχειριστή wpx_admin με διαπιστευτήρια διαθέσιμα στον κώδικα. Στη συνέχεια, το σενάριο προχωρά στην εγκατάσταση μιας κακόβουλης προσθήκης (plugin.php) που έχει ληφθεί από τον ίδιο τομέα και την ενεργοποιεί στον παραβιασμένο ιστότοπο.
Σύμφωνα με την c/cide, ο σκοπός της προσθήκης είναι να συλλέγει ευαίσθητα δεδομένα, όπως διαπιστευτήρια διαχειριστή και αρχεία καταγραφής και να τα στέλνει στον διακομιστή του εισβολέα με συγκεχυμένο τρόπο που το κάνει να εμφανίζεται ως αίτημα εικόνας.
Δείτε ακόμα: To WordPress Plugin PhishWP κλέβει δεδομένα πληρωμών
Η επίθεση περιλαμβάνει επίσης πολλά βήματα επαλήθευσης, όπως η καταγραφή της κατάστασης της λειτουργίας μετά τη δημιουργία του λογαριασμού διαχειριστή και η επαλήθευση της εγκατάστασης της κακόβουλης προσθήκης.

Για να προστατευτούν από την καμπάνια malware, η c/side συνιστά στους κατόχους ιστοτόπων να αποκλείουν τον τομέα «wp3.xyz» χρησιμοποιώντας τείχη προστασίας και εργαλεία ασφαλείας.
Επιπλέον, οι διαχειριστές θα πρέπει να ελέγξουν άλλους προνομιούχους λογαριασμούς και τη λίστα των εγκατεστημένων προσθηκών, για να εντοπίσουν μη εξουσιοδοτημένη δραστηριότητα και να τους αφαιρέσουν το συντομότερο δυνατό.
Τέλος, συνιστάται να ενισχυθούν οι προστασίες CSRF σε ιστότοπους WordPress μέσω δημιουργίας μοναδικών διακριτικών, επικύρωσης από την πλευρά του διακομιστή και περιοδικής αναγέννησης. Τα διακριτικά θα πρέπει να έχουν σύντομο χρόνο λήξης για να περιοριστεί η περίοδος ισχύος τους.
Η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων προσθέτει επίσης προστασία σε λογαριασμούς με διαπιστευτήρια που έχουν ήδη παραβιαστεί.
Δείτε επίσης: WordPress WPLMS: Plugins ευάλωτα σε κρίσιμες ευπάθειες
Τα κακόβουλα πρόσθετα, όπως στην περίπτωση του WP3.XYZ malware, μπορούν να θέσουν σημαντικούς κινδύνους για την ασφάλεια και τη λειτουργικότητα ενός συστήματος. Αυτά τα πρόσθετα έχουν σχεδιαστεί με επιβλαβή πρόθεση, συχνά με στόχο την κλοπή ευαίσθητων δεδομένων, την παραβίαση του απορρήτου των χρηστών ή την εκμετάλλευση τρωτών σημείων στο λογισμικό. Μπορεί να μεταμφιεστούν ως νόμιμα εργαλεία, ξεγελώντας τους χρήστες να τα εγκαταστήσουν. Μόλις ενεργοποιηθούν, μπορούν να εισάγουν κακόβουλο κώδικα, να παρακολουθούν τις δραστηριότητες των χρηστών ή να παρέχουν backdoors για μη εξουσιοδοτημένη πρόσβαση. Για τον μετριασμό αυτών των κινδύνων, είναι απαραίτητο να κάνετε λήψη προσθηκών μόνο από αξιόπιστες πηγές, να ενημερώνετε τακτικά το λογισμικό και να χρησιμοποιείτε ισχυρά μέτρα ασφαλείας για τον εντοπισμό και την εξουδετέρωση απειλών.
Πηγή: bleepingcomputer