Os ataques estão em andamento, de acordo com a Defiant, a empresa por trás do Wordfence.
Os hackers estão a direcionar milhões de ataques a websites WordPress que usam o “Abandoned Cart Lite for WooCommerce“, um plugin instalado em mais de 20.000 sites WordPress, de acordo com o repositório oficial de Plugins do WordPress.
Esses ataques são um daqueles casos raros em que uma vulnerabilidade de scripting comum e normalmente inofensiva e underrated (XSS) pode levar a sérios hacks. As falhas do XSS raramente são armadas de maneira tão perigosa.
É possível explorar esta falha in-the-wild devido a combinação da vulnerabilidade XSS e a algumas funcionalidades do pŕoprio plugin.
De acordo com um relatório do investigador Mikey Veenstra da Defiant, os hackers estão a automatizar as operações contra as lojas baseadas no WordPress WooCommerce para gerar carrinhos de compras que contêm produtos com nomes malformados.
Eles adicionam o payload XSS em um dos campos do carrinho de compras e, em seguida, saem do site, uma ação que garante que o payload seja armazenado automaticamente pelo plugin na base de dados. Num bom cenário, esta funcionalidade permite deixar os artigos guardados para uma próxima visita.
Quando um administrador acede o back-end da loja para visualizar uma lista de carrinhos abandonados, o payloaed é executado assim que uma página de back-end específica é carregada.
O investigador afirma que nas últimas semanas tem identificado vários ataques utilizando esta técnica.
O payload maliciosos carrega um ficheiro Javascript de um bit.ly link. Esse código tenta implantar dois backdoors diferentes que tiram partido do plugin vulnerável.
O primeiro backdoor é responsável por criar uma nova conta de administração. Este novo utilizador é chamado de “woouser”, está registrado com o endereço de e-mail “[email protected]” e usa uma password de “K1YPRka7b0av1B”.
O segundo backdoor é muito inteligente e é uma técnica raramente vista. Veenstra disse que o código malicioso lista todos os plugins do website e procura o primeiro que foi desativado pelo administrador do website.
Os hackers não o reativam, mas substituem o conteúdo do ficheiro main por um script mal-intencionado que funciona como backdoor para acesso futuro.
O plugin permanecerá desativado para o administrador não detetar qualquer tipo de comportamento anómalo.
O bit.ly link usado para esta campanha foi acedido mais de 5.200 vezes, sugerindo que o número de websites infectados anda na casa dos milhares.
O plugin recebeu uma correção na versão 5.2.0, lançada em 18 de fevereiro.
Os proprietários de websites do WordPress que usam o plug-in são aconselhados a atualizar os websites e validar a lista de contas de administrador na tentativa de identificar utilizadores suspeitos. O user “woouser” pode não estar presente, mas os hackers também poderiam tê-lo alterado para outra nome diferente.