На прошлой неделе более 900 тысяч сайтов были атакованы в рамках масштабной хакерской кампании. В частности, представители компании Defiant, которая занимается разработкой плагинов безопасности Wordfence для WordPress, заявили, что еще 28 апреля начали замечать и отслеживать атаки, особенно на межсайтовый скриптинг (XSS).
Проанализировав вредоносные компоненты, компания Defiant сделала вывод, что большинство атак были совершены одной группой злоумышленников. По словам инженера QA Wordfence, киберпреступники начали с небольших атак, однако уже 03 мая кампания насчитывала около 3 миллионов попыток нападений на более полумиллиона веб-сайтов.
«В целом за последний месяц мы обнаружили более 24 тысяч различных IP-адресов, которые присылают запросы, связанные с атаками на более 900 тысяч сайтов», — добавил представитель QA Wordfence. Злоумышленники нацеливаются на межсайтовый скриптинг (XSS), а также другие уязвимости плагинов, чтобы ввести вредоносный код на сайты, которые затем перенаправляют посетителей на ресурсы с рекламным программным обеспечением. Стоит отметить, что для уязвимостей WordPress плагинов, которые использовали злоумышленники, доступны обновления безопасности. Большинство из них были выпущены несколько месяцев или даже лет назад.
В частности, три из пяти уязвимостей WordPress плагинов, которые использовали киберпреступники, связанные с XSS. Одна из них связана с плагином Easy2Map, на который приходилось более половины атак и который, вероятно, был установлен на около 3 тысячах веб-сайтов. Вторая уязвимость WordPress плагинов была обнаружена в прошлом году в Blog Designer, который по подсчетам Defiant около тысячи раз было установлено с уязвимостями. Третья была обнаружена в шаблоне «Newspaper», для которого уже были выпущены исправления после различных атак, которые происходили с 2016 года.
Два других вектора атак — параметры обновления уязвимостей. Один из них влияет на плагин WP GDPR Compliance, для которого были выпущены исправления в 2018 году. Другой касается плагина Total Donations, который был изъят из Envato Market еще в 2019 году. Каждая из этих уязвимостей позволяет хакерам изменить домашний веб-адрес сайта.
В будущем злоумышленники могут использовать другие уязвимости WordPress. Именно поэтому специалисты ESET настоятельно рекомендуют регулярно обновлять основные модули и плагины системы для создания веб-сайтов, а также пользоваться актуальной версией операционной системы и другого программного обеспечения. Кроме этого, важно удалять программы, которые вам больше не нужны, поскольку они лишь повышают риск инфицирования.