(https://i.postimg.cc/bvZR4RKq/Word-Press.png) (https://postimages.org/)
Una nueva campaña de malware ha comprometido más de 5000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.
Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante una intervención de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza el dominio wp3[.]xyz para exfiltrar datos, pero aún no han determinado el vector de infección inicial.
Después de comprometer un objetivo, un script malicioso cargado desde el dominio wp3[.]xyz crea la cuenta de administrador falsa wpx_admin con credenciales disponibles en el código.
(https://i.postimg.cc/26NdWJmd/Malware-code-WP3-XYZ.png) (https://postimg.cc/wtFs8w13)
El script luego procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.
Según c/cide, el propósito del complemento es recopilar datos confidenciales, como credenciales de administrador y registros, y enviarlos al servidor del atacante de una manera ofuscada que los hace aparecer como una solicitud de imagen.
El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de la creación de la cuenta de administrador no autorizada y verificar la instalación del complemento malicioso.
Bloqueando los ataques
c/side recomienda que los propietarios de sitios web bloqueen el dominio 'wp3[.]xyz' mediante cortafuegos y herramientas de seguridad.
Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.
Por último, se recomienda que las protecciones CSRF en los sitios de WordPress se fortalezcan mediante la generación de tokens únicos, la validación del lado del servidor y la regeneración periódica. Los tokens deben tener un tiempo de expiración corto para limitar su período de validez.
La implementación de la autenticación multifactor también agrega protección a las cuentas con credenciales que ya se han visto comprometidas.
Fuente:
BleepìngComputer
https://www.bleepingcomputer.com/news/security/wp3xyz-malware-attacks-add-rogue-admins-to-5-000-plus-wordpress-sites/