Киберпреступники атакуют интернет-магазины на базе WordPress

Злоумышленники атакуют интернет-магазины на базе WordPress с помощью бэкдора, которым они заражают сайты через уязвимость в плагине Abandoned Cart Lite for WooCommerce. Согласно данным официального репозитория плагинов WordPress, в настоящее время Abandoned Cart Lite for WooCommerce установлен более чем на 20 тыс. сайтов.

Атаки представляют собой тот редкий случай, когда заурядная и в большинстве случаев безобидная XSS-уязвимость может использоваться для осуществления серьезных взломов. Как правило, межсайтовый скриптинг редко используется в серьезных атаках, но в случае с Abandoned Cart Lite for WooCommerce все обстоит именно так.

С помощью плагина Abandoned Cart Lite for WooCommerce администраторы сайтов могут просматривать содержимое заброшенных корзин и узнавать, какие товары пользователи добавили в них перед тем, как покинуть сайт. Плагин позволяет составлять перечни потенциально популярных товаров, которыми магазину лучше запастись на будущее. Доступ к перечням есть только у администраторов и привилегированных пользователей.

Как сообщает специалист компании Defiant Майки Винстра (Mikey Veenstra), с помощью автоматизации злоумышленники создают на сайтах с уязвимым плагином корзины, содержащие товары с видоизмененными названиям. В одно из полей корзины они добавляют код эксплоита, а затем покидают сайт, для того чтобы код сохранился в его базе данных. Когда администратор просматривает перечень оставленных корзин и доходит до корзины с эксплоитом, выполняется вредоносный код.

По словам Винстры, за последние несколько недель было зафиксировано несколько попыток атак с использованием вышеописанного способа. Злоумышленники применяли эксплоит, загружавший файл JavaScript с адреса bit.ly. В свою очередь, этот файл пытался внедрить на сайт два отдельных бэкдора.

Первый бэкдор создает на атакуемом сайте новую учетную запись администратора. Второй же использует весьма редкую технику. Вредонос составляет список всех загруженных на сайт плагинов и ищет первый, который был отключен администратором. Злоумышленники не включают его, а заменяют содержимое его главного файла вредоносным скриптом, играющим роль бэкдора для обеспечения доступа к сайту в будущем.

 

13 марта, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб
02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом
02.07.2026
Open Standard готовит к выпуску долларовый стейблкоин
02.07.2026
Российские регуляторы грозят Apple судом
02.07.2026
Cloud.ru добавил внешние языковые модели в сервис Foundation Models
01.07.2026
«Законодательная инициатива» от Anonymous: BorderAge вместо указания возраста

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных