Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Киберпреступники атакуют интернет-магазины на базе WordPress

13/03/19

WordpressЗлоумышленники атакуют интернет-магазины на базе WordPress с помощью бэкдора, которым они заражают сайты через уязвимость в плагине Abandoned Cart Lite for WooCommerce. Согласно данным официального репозитория плагинов WordPress, в настоящее время Abandoned Cart Lite for WooCommerce установлен более чем на 20 тыс. сайтов.

Атаки представляют собой тот редкий случай, когда заурядная и в большинстве случаев безобидная XSS-уязвимость может использоваться для осуществления серьезных взломов. Как правило, межсайтовый скриптинг редко используется в серьезных атаках, но в случае с Abandoned Cart Lite for WooCommerce все обстоит именно так.

С помощью плагина Abandoned Cart Lite for WooCommerce администраторы сайтов могут просматривать содержимое заброшенных корзин и узнавать, какие товары пользователи добавили в них перед тем, как покинуть сайт. Плагин позволяет составлять перечни потенциально популярных товаров, которыми магазину лучше запастись на будущее. Доступ к перечням есть только у администраторов и привилегированных пользователей.

Как сообщает специалист компании Defiant Майки Винстра (Mikey Veenstra), с помощью автоматизации злоумышленники создают на сайтах с уязвимым плагином корзины, содержащие товары с видоизмененными названиям. В одно из полей корзины они добавляют код эксплоита, а затем покидают сайт, для того чтобы код сохранился в его базе данных. Когда администратор просматривает перечень оставленных корзин и доходит до корзины с эксплоитом, выполняется вредоносный код.

По словам Винстры, за последние несколько недель было зафиксировано несколько попыток атак с использованием вышеописанного способа. Злоумышленники применяли эксплоит, загружавший файл JavaScript с адреса bit.ly. В свою очередь, этот файл пытался внедрить на сайт два отдельных бэкдора.

Первый бэкдор создает на атакуемом сайте новую учетную запись администратора. Второй же использует весьма редкую технику. Вредонос составляет список всех загруженных на сайт плагинов и ищет первый, который был отключен администратором. Злоумышленники не включают его, а заменяют содержимое его главного файла вредоносным скриптом, играющим роль бэкдора для обеспечения доступа к сайту в будущем.

Темы:WordPressУгрозыDefiant
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...