Eine schon bekannte Malvertising-Kampagne entwickelt sich weiter, fügt weitere Backdoors hinzu und weitet sich auf neue Plugins aus.
Im Juli berichtete Wordfence über eine Malvertising-Kampagne, bei der Redirect- und Popup-Code über eine Reihe öffentlicher Sicherheitslücken des WordPress-Ökosystems verteilt wurde. Ein Großteil der Kampagne ist immer noch identisch: Bekannte Sicherheitslücken in WordPress-Plug-ins werden ausgenutzt, um schädliches JavaScript in die Frontends der betroffenen Websites zu injizieren. Dadurch werden die Besucher der Websites zu potenziell schädlichen Inhalten wie Malware-Droppern und Betrugs-Websites umgeleitet. Wenn möglich, werden die Nutzdaten verschleiert, um eine Erkennung durch WAF- und IDS-Software zu vermeiden. Seit dem letzten Bericht auf Wordfence.com wurden jedoch einige neue IOCs ( Kompromissindikatoren ) bekannt.
Die meisten Angriffe gehen von einer einzigen IP-Adresse aus.
Die fragliche IP-Adresse lautet 104.130.139.134. Der Provider Rackspace wurde von Wordfence zwar kontaktiert, hat aber noch nicht auf die Anfrage reagiert.
Die Angreifer nutzen nun auch neue Sicherheitslücken.
Die Malvertising Kampagne nutzt eine Reihe bekannter Sicherheitslücken in WordPress Plugins, die sich nun noch auf weitere Plugins erweitert hat. Besonders hervorzuheben ist ein kürzlich bekannt gewordener Fehler im Bold Page Builder-Plugin der am 23. August von NinTechNet veröffentlicht wurde.
Diese Plugins sind zur zeit Ziel des Angriffs:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- Alle früheren NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)
Da die Kampagne immer neue Ziele erfasst ist es wahrscheinlich, dass Schwachstellen in Bezug auf XSS- oder Optionsaktualisierungen, die in Zukunft gefunden werden, schnell in diese Malvertising Kampagne integriert werden.
Backdoor-Payload zur Kampagne hinzugefügt.
Erste Untersuchungen zu dieser Kampagne ergaben, dass Skripte eingefügt wurden, die böswillige Weiterleitungen oder unerwünschte Popups in den Browsern der Besucher einer Opfer-Site auslösten. Seitdem hat die Kampagne ein zusätzliches Skript hinzugefügt, mit dem versucht wird, eine Hintertür auf der Zielsite zu installieren, indem die Sitzung eines Administrators ausgenutzt wird.
Der folgende Code ist ein Beispiel für den zu diesem Zweck verwendete raw Payload:
Decodiert ergibt dies den folgenden Code:
Dieser kurze JavaScript-Block generiert ein neues script-Tag auf den betroffenen Seiten, setzt den Parameter src auf https://yourservice.live/include.js und führt es dann aus. Der in include.js enthaltene Code ist dann dafür verantwortlich, einen neuen Benutzer mit Administratorrechten auf der Website des Opfers zu erstellen.
Fazit
Zum jetzigen Zeitpunkts sind noch Angriffe im Zusammenhang mit dieser Kampagne zu erwarten. Benutzer von Wordfence sind, auch wenn sie die kostenlose Version verwenden, vor XSS-Angriffen in dieser Kampagne geschützt.
Wie immer ist die Aktualisierung der Plugins und Themes auf Ihrer WordPress-Site eine hervorragende Abwehrmaßnahme gegen Kampagnen wie diese. Mit unseren Wartungsverträgen ist Ihre WordPress Webseite immer auf dem neusten Stand und schon ab dem Backup, Update & Secure Gold für 69€ monatlich ( zzgl. MwSt. ) mit der Community Edition von Wordfence geschützt.