javascript

Javascript Injection Cria Rogue WordPress em painel de admin

No início deste ano, enfrentamos um crescente volume de infecções relacionadas a uma vulnerabilidade em versões desatualizadas dos temas Newspaper e Newspaper . O tipo de infecção sempre foi o mesmo: JavaScript malicioso projetado para exibir pop-ups não autorizados ou redirecionar os visitantes para sites spam, os hackers então monetizados através de visualizações publicitárias.

Este mês percebemos uma variante muito interessante desta infecção. Embora ainda esteja relacionado com a mesma vulnerabilidade nas mesmas versões desatualizadas dos temas Newspaper e Newsmag, o malware foi projetado tanto para injetar malvertising quanto para assumir um site WordPress completamente. No momento, o serviço PublicWWW informa sobre mil sites infectados com esta última versão do malware.

Sintomas da infecção

Os sites infectados estão redirecionando para outros sites com domínios spam como 3cal1ingc0nstant31112123 [.] Tk ou 1sthelper31212123 [.] Tk (eles freqüentemente mudam). Além do redirecionamento, um novo usuário de administrador rogue ” simple001 ” é criado nos sites infectados, que oferecem aos hackers acesso total aos sites.
O javascript malicioso pode ser localizado nas opções do tema (incluindo configuração de anúncio, javascript personalizado e outros campos). Procure a seguinte linha:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99, redigido …)

Javascript Injection Cria Rogue WordPress Admin User

O javascript injetado inclui e executa um código de javascript remoto e mais sofisticado de: hxxps: //json.stringengines [.] Com / redacted.js
Aqui está uma parte do código decodificado que cria o usuário administrador rogue:

Javascript Injection Cria Rogue WordPress Admin User

O evento:

Um visitante pousa no site, sem saber que está carregando silenciosamente e executando o javascript malicioso.

Cenário 1:

O javascript verifica se o visitante está logado como usuário admin acessando o arquivo /wp-admin/user-new.php nos bastidores. Se o usuário é um administrador, ele cria o usuário desonesto ” simple001 ” (com e-mail ” simples @ simplesite “) com privilégios de administrador.

Cenário 2:

Se o visitante não estiver logado como usuário administrativo, o javascript verifica que é a primeira visita nas últimas 10 horas (usando o cookie “checkmeonce”) e redireciona esses recém-chegados para hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Esse URL de redirecionamento intermediário inicia uma cadeia de redirecionamentos para fraudes e sites de anúncios. O próximo passo naquela cadeia de redirecionamento é descartável, freqüentemente mudou o domínio .tk com termos relacionados ao “suporte técnico” e números aleatórios como 3cal1ingc0nstant31112123 [.] Tk ou techsupport60512123456 [.] Tk .

Nota importante: nesta infecção, a criação de usuários desonesto só funciona se o visitante estiver logado como administrador do WordPress. O código malicioso é executado quando um usuário administrativo visita páginas da Web fora da interface de administração do WordPress (por exemplo, para verificar as alterações).

Conclusão

O malware que injeta o código JavaScript não só ataca os visitantes do site, mas também pode ser usado para tirar completamente o site ao direcionar os administradores de sites conectados – neste caso criando silenciosamente usuários maliciosos do WordPress.

Infelizmente, uma vez que esta infecção está relacionada a uma vulnerabilidade do software, senhas fortes e plugins de segurança não o protegerão.

Se você estiver usando um tópico TagDiv desatualizado, como Newspaper ou Newsmag, e suspeita que seu site possa estar infectado, você pode verificar através do nosso scanner SiteCheck gratuito . Atualize os temas para corrigir a vulnerabilidade e, em seguida, inspecione seu blog para usuários suspeitos. Também recomendamos que você teste suas configurações, altere suas senhas e explore seu servidor para qualquer porta traseira que possa ter sido deixada para trás.

O software desatualizado ainda é um dos principais fatores de infecção / casos de hacking. Recomendamos sempre que os usuários verifiquem os usuários desonestos e mantenham seus CMS, plugins e temas atualizados. Um firewall de site também pode ajudar a evitar esse tipo de ataque.

Você acredita que seu site foi comprometido? Estamos sempre aqui para ajudar.

hostcuritiba

A HOSTCURITIBA é uma empresa de Hospedagem de Sites, Registro de domínios e especializada em apoio técnico e proteção de servidores para hospedagem em nuvem. Apoio 24x7 e monitoramento grátis para seu site. Central de vendas (41) 3014-8891 - [email protected]