Een hackergroep misbruikt kwetsbaarheden in meer dan tien WordPress-plugins om malafide beheerdersaccounts aan te maken op WordPress-sites.
De aanvallen zijn onderdeel van een hackcampagne die vorige maand is gestart, maar twee weken geleden veranderde de groep van tactiek. De hackers misbruikten de kwetsbaarheden in dezelfde plugins eerder al om kwaadaardige code op gehackte sites te planten. Volgens Mikey Veenstra, dreigingsanalist bij cybersecuritybedrijf Defiant, heeft de hackergroep de kwaadaardige code op 20 augustus gewijzigd, aldus ZDnet.
Aanmaken gebruikersaccounts
De code is in eerste instantie bedoeld om pop-upadvertenties weer te geven of om inkomende bezoekers om te leiden naar andere websites. De kwaadaardige code heeft nu echter ook een functie gekregen om te testen of de sitebezoeker de mogelijkheid heeft gebruikersaccounts op de site te maken. Deze functie is normaal alleen beschikbaar voor WordPress-beheerdersaccounts.
De kwaadaardige code wacht tot de site-eigenaar toegang krijgt tot zijn eigen website(s), waarna de code een nieuw beheerdersaccount met de naam wpservices aanmaakt. Hiervoor wordt gebruikt gemaakt van het e-mailadres van wpservices@yandex.com en het wachtwoord w0rdpr3ss.
Achterdeuren voor toekomstig gebruik
Door het aanmaken van nieuwe beheerdersaccounts veranderde de hackergroep van tactiek. Zo gingen ze over van het exploiteren van sites voor geldwinsten naar het toevoegen van achterdeuren voor toekomstig gebruik. Bovendien levert de nieuwe tactiek ook meer vasthoudendheid op.
De recente aanvallen richten zich volgens de dreigingsanalist op oudere kwetsbaarheden in de volgende plugins:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- Alle voormalige NicDark plugins, zoals nd-booking, nd-travel en nd-learning.
De plugins zijn inmiddels gelinkt aan de betreffende kwetsbaarheden, zodat lezers de versie kunnen bepalen waarnaar ze moeten updaten. Dit stelt gebruikers in staat aanvallen te voorkomen in het geval ze een van de plugins gebruiken.
Beheerdersnamen controleren
Ook is het raadzaam voor site-eigenaren om de beheerdersnamen te controleren, die op hun sites zijn geregistreerd. Het is absoluut noodzakelijk om deze (vreemde) accounts te verwijderen, gezien het doel daarvan is om een ​​weg terug naar websites te creëren, nadat gebruikers de kwetsbare plug-ins hebben bijgewerkt.
Het is aan te raden voor niet-technische gebruikers professionele hulp te zoeken, omdat het opschonen van geïnfecteerde WordPress-sites tamelijk ingewikkeld kan zijn. Site-eigenaren moeten hun websites namelijk ook scannen met WordPress-beveiligingsplugins om te zoeken naar verschillende andere achterdeurmechanismen, die hackers mogelijk hebben achtergelaten.
Lees ook: WordPress gaat verouderde versies geforceerd automatisch updaten