Hackade WordPress-webbplatser försvaras av deras angripare

Hackade WordPress-webbplatser försvaras av deras angripare

En nolldagarssårbarhet upptäcktes nyligen i ett populärt WordPress-plugin och nu har cyberbrottslingar som utnyttjar bristen börjat skydda webbplatserna de har äventyrat från attacker från andra hotaktörer. Säkerhetsbristen upptäcktes först av säkerhetsföretaget Defiant, som registrerade attacker på mer än 1.7 miljoner WordPress-webbplatser med sårbara versioner av filhanterarens plugin installerad. Men förra veckan ökade antalet attackerade webbplatser till mer än 2,6 miljoner. Om det utnyttjas tillåter felet angripare att ladda ner skadliga PHP-filer och exekvera godtycklig kod på WordPress-webbplatser som inte har uppdaterats till den senaste versionen av filhanteraren. Utvecklarna av plugin-programmet skapade och implementerade en patch för sårbarheten med släppet av File Manager 6.9. Tyvärr har många webbplatsägare ännu inte uppdaterat till den senaste versionen av plugin, vilket har gjort deras webbplatser sårbara för attacker.

Försvara hackade WordPress-webbplatser

Flera cyberbrottslingar riktar sig för närvarande till webbplatser som kör sårbara versioner av filhanterarens plugin, enligt en ny rapport från Defiant. Ram Gall, QA-ingenjör på Wordfence, förklarade dock att två av dessa angripare hade börjat försvara webbplatserna de hade hackat och sa: "Vi har sett bevis på inblandning av flera hotaktörer i dessa attacker, inklusive mindre ansträngningar från hotaktören tidigare ansvariga för att attackera miljontals webbplatser, men två angripare har varit mer framgångsrika i att utnyttja sårbara webbplatser, och båda angriparna lösenordsskyddar för närvarande sårbara kopior av filen connector.minimal.php. "En av angriparna, som går igenom Bajatax kontroll, är en marockansk hotaktör som är känd för att ha stulit användaruppgifter från PrestaShop e-handelssajter. Efter att ha äventyrat en WordPress-sajt injicerar Bajatax skadlig kod som samlar in användaruppgifter via Telegram när webbplatsens ägare loggar in och den informationen säljs till högstbjudande. Den andra hotaktören injicerar en bakdörr, kamouflerad som en .ico-fil, i en slumpmässig mapp såväl som webbplatsens webbrot för att säkerställa att de kan fortsätta att komma åt den utsatta sidan. Defiant observerade att båda hotaktörerna använde lösenord för att skydda den exploaterbara connector.minimal.php-filen på de webbplatser de tidigare hade infekterat. Gall gav mer information om hur dessa två hotaktörer försvarar de WordPress-webbplatser som de har äventyrat, och sa: "Vårt team för rensning av webbplatser har rensat upp flera webbplatser som äventyrats av denna sårbarhet och i många fall finns skadlig programvara från flera hotaktörer. och tillsammans använder flera tusen IP-adresser i sina attacker. "WordPress-webbplatsägare med filhanterarens plugin installerat bör omedelbart uppgradera till version 6.9 för att undvika att falla offer för potentiella attacker, särskilt nu när cyberbrottslingar har ökat sina ansträngningar. Via BleepingComputer