Os ataques estão em andamento, de acordo com a Defiant, a empresa por trás do Wordfence.
Os hackers estão a direcionar milhões de ataques a websites WordPress que usam o “Abandoned Cart Lite for WooCommerce“, um plugin instalado em mais de 20.000 sites WordPress, de acordo com o repositório oficial de Plugins do WordPress.
Esses ataques são um daqueles casos raros em que uma vulnerabilidade de scripting comum e normalmente inofensiva e underrated (XSS) pode levar a sérios hacks. As falhas do XSS raramente são armadas de maneira tão perigosa.
É possível explorar esta falha in-the-wild devido a combinação da vulnerabilidade XSS e a algumas funcionalidades do pŕoprio plugin.
De acordo com um relatório do investigador Mikey Veenstra da Defiant, os hackers estão a automatizar as operações contra as lojas baseadas no WordPress WooCommerce para gerar carrinhos de compras que contêm produtos com nomes malformados.
Eles adicionam o payload XSS em um dos campos do carrinho de compras e, em seguida, saem do site, uma ação que garante que o payload seja armazenado automaticamente pelo plugin na base de dados. Num bom cenário, esta funcionalidade permite deixar os artigos guardados para uma próxima visita.
Quando um administrador acede o back-end da loja para visualizar uma lista de carrinhos abandonados, o payloaed é executado assim que uma página de back-end específica é carregada.
O investigador afirma que nas últimas semanas tem identificado vários ataques utilizando esta técnica.
O payload maliciosos carrega um ficheiro Javascript de um bit.ly link. Esse código tenta implantar dois backdoors diferentes que tiram partido do plugin vulnerável.
O primeiro backdoor é responsável por criar uma nova conta de administração. Este novo utilizador é chamado de “woouser”, está registrado com o endereço de e-mail “[email protected]” e usa uma password de “K1YPRka7b0av1B”.
O segundo backdoor é muito inteligente e é uma técnica raramente vista. Veenstra disse que o código malicioso lista todos os plugins do website e procura o primeiro que foi desativado pelo administrador do website.
Os hackers não o reativam, mas substituem o conteúdo do ficheiro main por um script mal-intencionado que funciona como backdoor para acesso futuro.
O plugin permanecerá desativado para o administrador não detetar qualquer tipo de comportamento anómalo.
O bit.ly link usado para esta campanha foi acedido mais de 5.200 vezes, sugerindo que o número de websites infectados anda na casa dos milhares.
O plugin recebeu uma correção na versão 5.2.0, lançada em 18 de fevereiro.
Os proprietários de websites do WordPress que usam o plug-in são aconselhados a atualizar os websites e validar a lista de contas de administrador na tentativa de identificar utilizadores suspeitos. O user “woouser” pode não estar presente, mas os hackers também poderiam tê-lo alterado para outra nome diferente.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.