Hackers estão travando uma guerra por 300 mil sites WordPress vulneráveis
Os invasores que estão explorando ativamente uma falha crítica de execução remota de código que afeta mais de 600.000 sites WordPress executando versões vulneráveis de plug-ins do Gerenciador de arquivos também foram vistos protegendo os sites que eles comprometem de ataques de outros agentes de ameaças.
A vulnerabilidade crítica permite que atacantes não autenticados carreguem arquivos PHP maliciosos e executem códigos arbitrários após a exploração bem-sucedida [ 1 , 2 , 3 ]. A equipe de desenvolvimento do File Manager corrigiu a falha com o lançamento do File Manager 6.9.
Mesmo que a falha tenha sido corrigida horas depois que os desenvolvedores foram informados pelo oficial de segurança de plantão de Seravo, Ville Korhonen, que descobriu a falha de dia zero e os ataques em andamento tentando explorá-la , os pesquisadores da empresa de segurança WordPress Defiant identificaram mais de 1,7 milhão de sites sendo investigado por atores de ameaças entre 1º e 3 de setembro.
Em um relatório atualizado publicado hoje, o analista de ameaças da Defiant, Ram Gall, diz que os agentes da ameaça não pararam seu cerco, com o número total de sites WordPress sendo alvejados chegando a 2,6 milhões.
A equipe de desenvolvimento do File Manager abordou a vulnerabilidade crítica explorada ativamente com o lançamento do File Manager 6.9
Ataques contínuos
De acordo com a Defiant, vários agentes de ameaças estão visando esta vulnerabilidade em sites que executam versões vulneráveis do plugin do Gerenciador de arquivos, mas dois deles tiveram mais sucesso na implantação de malware em sites vulneráveis.
Um deles é bajatax , um ator de ameaças marroquino conhecido anteriormente por ter uma tendência para roubar credenciais de usuários de sites de comércio eletrônico PrestaShop.
Uma vez que ele consegue comprometer um site WordPress como parte dos ataques em andamento, o bajatax injeta um código malicioso que coleta e exfila as credenciais do usuário via Telegram em qualquer tentativa de login, para posteriormente ser vendido ao maior lance.
O outro injeta um backdoor em uma pasta aleatória e no webroot do site, ambos camuflados como arquivos .ico, para diminuir a chance de o administrador do site encontrar ambos e cortar o acesso do ator da ameaça ao site.
Como explica Gall, o infectador de PHP usado por esse segundo invasor é uma variante de uma infecção usada anteriormente para implantar criptominadores e executar campanhas de spam de SEO por meio de sites comprometidos.
Lutando pelo controle
Ambos foram vistos pelo Defiant enquanto tentava bloquear as tentativas de exploração de outros invasores, protegendo com senha o arquivo conector.minimal.php explorável em sites que eles infectaram.
“Nossa equipe de limpeza de sites limpou vários sites comprometidos por essa vulnerabilidade e, em muitos casos, malware de vários agentes de ameaças está presente”, explica Gal.
“Os agentes de ameaças mencionados acima foram de longe os mais bem-sucedidos devido aos seus esforços para bloquear outros invasores e estão usando coletivamente vários milhares de endereços IP em seus ataques.”
O NinTechNet, que também relatou as tentativas de exploração quando os ataques começaram, também descobriu as tentativas dos invasores de impedir que outros comprometessem o site já infectado, protegendo com senha os arquivos expostos à escrita pela falha do Gerenciador de Arquivos.
Ao todo, os pesquisadores da Defiant viram ataques tentando explorar esta vulnerabilidade originados de mais de 370.000 endereços IP separados, quase sem sobreposição na atividade de acesso backdoor.
“A única exceção é o IP 51.83.216.204, que parece ser um terceiro verificando oportunisticamente a presença de ambos os backdoors e, em seguida, tentando adicionar um backdoor próprio, sem muito sucesso”, acrescentou Gal.
