Новости 6 000 WordPress-сайтов под угрозой: как поддельные плагины похищают данные

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Хакеры встраивают вредоносный код прямо в HTML. Как обезопасить свои ресурсы?


k4oqzznoy1653tud99f0ooppwexxys6g.jpg


Хакеры активно взламывают WordPress -сайты, чтобы устанавливать вредоносные плагины и распространять фальшивые обновления браузеров, под которыми скрывается программное обеспечение для похищения данных.

С 2023 года кампания под названием ClearFake Для просмотра ссылки Войди или Зарегистрируйся выводя баннеры с фейковыми обновлениями браузеров. В 2024 году появился новый аналог — Для просмотра ссылки Войди или Зарегистрируйся имитирующий сообщения об ошибках программ с якобы встроенными «исправлениями». Эти «исправления» активируют PowerShell-скрипты, которые загружают и устанавливают вредоносное ПО.

ClickFix с недавних пор Для просмотра ссылки Войди или Зарегистрируйся для создания фальшивых уведомлений в популярных сервисах, таких как Google Chrome, Google Meet и Facebook. Также хакеры подменяют капчи, чтобы убедить пользователей выполнить «обновление».

На прошлой неделе компания GoDaddy Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники взломали более 6 000 WordPress-сайтов, чтобы установить поддельные плагины, используемые для внедрения этих фейковых уведомлений. Исследователь безопасности Денис Синегубко пояснил, что плагины маскируются под безобидные и даже копируют названия легитимных расширений, таких как Wordfence Security и LiteSpeed Cache.

Злоумышленники также создают плагины с вымышленными названиями, включая Universal Popup Plugin, SEO Booster Pro и Custom CSS Injector. Эти плагины внедряют вредоносные JavaScript-скрипты в HTML-код сайтов, ведущие к отображению поддельных уведомлений.

Анализ логов веб-серверов показывает, что хакеры используют украденные данные администраторов для автоматизированного входа на сайты. Взлом происходит через единичный POST-запрос, минуя стандартную страницу входа, что указывает на заранее полученные учётные данные.

Причины утечки данных остаются неясными, но исследователи предполагают, что они могли быть получены через фишинговые атаки, брутфорс или вредоносное ПО. В случае обнаружения фальшивых уведомлений администраторам сайтов рекомендуется немедленно проверить список плагинов, удалить подозрительные, а также сменить пароли на уникальные.
 
Источник новости
www.securitylab.ru

Похожие темы