Атаки являются частью кампании, которая началась в прошлом месяце. Ранее преступники использовали уязвимости в тех же самых плагинах для внедрения вредоносного кода на взломанные сайты. Код предназначался для показа всплывающей рекламы или для перенаправления входящих посетителей на другие сайты.
По словам исследователя из Wordfence Майка Веенстра (Mikey Veenstra), киберпреступники модифицировали размещенный на вредоносных сайтах код. Вместо простой демонстрации всплывающих окон и перенаправления, вредоносный код также проверяет, имеет ли посетитель сайта возможность создавать учетную запись на сайте, которая доступна только для аккаунтов администратора WordPress. Вредоносный код ждет, пока владелец сайта не зайдет в свою учетную запись. Как только это происходит, код создает новую учетную запись администратора с именем wpservices, используя адрес электронной почты wpservices@yandex и пароль w0rdpr3ss.
Недавние атаки затронули следующие плагины для WordPress: Bold Page Builder, Blog Designer, Live Chat with Facebook Messenger, Yuzo Related Posts, Visual CSS Style Editor, WP Live Chat Support, Form Lightbox, Hybrid Composer, а также плагины NicDark (nd-booking, nd-travel, nd-learning и др.)
Администраторам сайтов настоятельно рекомендуется обновить уязвимые плагины, а также проверить имена учетных записей и удалить их.