Новая вредоносная кампания: угроза для сайтов на WordPress
Более 5000 сайтов под управлением WordPress стали жертвами новой вредоносной кампании. Злоумышленники создают новые учётные записи администраторов, устанавливают на сайты вредоносные плагины и крадут данные.
Исследователи из компании c/side обнаружили эту вредоносную активность во время реагирования на инцидент у одного из своих клиентов. Они выяснили, что хакеры используют домен wp3[.]xyz для «слива» украденных данных.
Реклама. ООО "Регтайм", ИНН 6318119680, erid: 2Vtzqv4EWAV
Пока неизвестно, как именно злоумышленники заражают WordPress-сайты. Но после взлома на сайте разворачивается вредоносный скрипт, который создаёт новую учётную запись администратора с жёстко закодированными учётными данными. Затем скрипт устанавливает вредоносный плагин и активирует его на заражённом сайте.
Целью этого плагина является сбор конфиденциальных данных (включая учётные данные администратора и логи) и передача информации на сервер хакеров. Это позволяет злоумышленникам получить доступ к важным данным и использовать их в своих целях.
Специалисты c/side рекомендуют владельцам сайтов блокировать домен wp3[.]xyz с помощью брандмауэров и других защитных решений. Администраторам следует проверить привилегированные учётные записи и список установленных плагинов, а в случае обнаружения несанкционированной активности — удалить плагины и новых администраторов.
Также исследователи советуют усилить защиту от CSRF с помощью генерации уникальных токенов и проверок на стороне сервера. Такие меры помогут повысить уровень безопасности и предотвратить утечку данных.
17/01/2025
Источник:xakep.ru
Полезные статьи
