Campanha de ataque malicioso direcionada a usuários do Jetpack que reutilizam senhas

Published by WP Info on

As equipes do Wordfence Threat Intelligence e de limpeza de sites têm rastreado uma campanha de malware que redireciona todos os visitantes do site para domínios de malvertising, enquanto tentam para manter os administradores do site cientes da infecção. Desde 1º de junho de 2021, o número de sites que estamos rastreando que foram infectados com esse malware mais do que dobrou, e esperamos que essa campanha continue ganhando impulso, pois depende de um mecanismo que é difícil de bloquear diretamente.

Jetpack é um dos plug-ins mais populares do repositório do WordPress e tem uma variedade estonteante de recursos que exigem que os usuários conectem seus sites a uma conta do WordPress.com. Um desses recursos permite que os usuários que estão logados no WordPress.com executem tarefas administrativas, incluindo a instalação de plug-ins, em sites que estão conectados ao WordPress.com via Jetpack.

Infelizmente, isso significa que se as credenciais de uma conta do WordPress.com forem comprometidas, um invasor pode fazer login nessa conta do WordPress.com e instalar plug-ins arbitrários no site WordPress conectado, independentemente de onde ele esteja hospedado. Isso inclui o plugin malicioso usado nesta campanha. escrevemos sobre esse vetor de intrusão no passado e está recuperando a popularidade devido a uma série de violações de dados recentes de outros serviços.

Para esclarecer, nenhuma violação de dados ocorreu no próprio WordPress.com. No entanto, a reutilização de senha é incrivelmente comum, e as credenciais obtidas de violações de dados recentes provavelmente concederão acesso a várias contas de usuário do WordPress.com. Além disso, embora seja possível configurar o Jetpack para permitir login direto em um site por meio de credenciais do WordPress.com, essa configuração não precisa ser habilitada para que um site fique vulnerável. Tudo o que é necessário é que um site seja conectado a uma conta do WordPress.com que tenha credenciais comprometidas.

O que devo fazer?

Se você usa o Jetpack, deve ligar o fator 2 autenticação no WordPress.com. Embora seja altamente recomendável o uso de um aplicativo móvel ou chave de segurança para isso, mesmo a autenticação de 2 fatores baseada em SMS é significativamente mais segura do que depender apenas de senhas.

Se você usar a mesma senha para sua conta do WordPress.com que usou para qualquer outro serviço, altere sua senha do WordPress.com imediatamente.

Se o seu site foi comprometido, publicamos um guia útil para ajudá-lo limpe seu site WordPress com Wordfence . A restauração de um backup recente pode definitivamente ser uma opção se você puder identificar o último backup limpo conhecido. Revisar seus arquivos de registro pode ajudar.

Se desejar suporte para restaurar a funcionalidade do seu site, nosso A equipe de limpeza do site pode ajudar. Todos os clientes de limpeza de sites do Wordfence recebem um Chave de licença do Wordfence Premium para proteger o site daqui para frente, bem como garantia de um ano. Se o site for comprometido novamente após as recomendações serem seguidas, iremos limpá-lo novamente gratuitamente.

Indicadores de compromisso

A maioria das infecções que vimos tem os seguintes plug-ins e nomes de arquivo:

wp-content/plugins/Plugin/plug.php
wp-content/plugins/plugs/plugs.php
wp-content/plugins/Builder/Builder.php

Os hashes MD5 mais comuns associados a esta campanha são:

8378f4e6c5d3941f00c70715713ce299
e7138bb2cd788dfba7ccfdc43e81065f
1288a440de78d25860809dde12f1dfa5
a5a0e5ab2381d5dedff1e91480d2b5d4
256e92647f880ad60f381a5a9cf66be7

Esses plug-ins maliciosos verificam se o visitante do site está na página de login ou se está conectado como administrador. Qualquer visitante que não atender a esses critérios será redirecionado para uma das várias dezenas de domínios punycode maliciosos.

Listamos os domínios associados à variante mais comum:

xn-i1abh6c [.] xn-p1ai
xn-80adzf [.] xn-p1ai
xn-o1aofd [.] xn-p1ai
xn-g1aey4a [.] xn-p1ai
xn-80ady8a [.] xn-p1ai
xn--g1asqf[.]xn--p1ai

Conclusão

No artigo de hoje, cobrimos uma campanha de malware que segmenta sites conectados ao WordPress.com por meio do plug-in JetPack. Como essa campanha depende de credenciais comprometidas do WordPress.com, não é possível bloquear esse tipo de ataque diretamente, mas isso não significa que não há nada que você possa fazer.

No momento, recomendamos que todos os proprietários de sites usando o plug-in Jetpack habilite a autenticação de dois fatores para suas contas do WordPress.com e altere suas senhas do WordPress.com se eles estiverem usando uma senha que foi usada para qualquer outro serviço. Se você não usa ativamente o Jetpack, desconecte seu site do WordPress.com ou desative o plug-in Jetpack.

Agradecimentos especiais ao analista de segurança Charles Sweethill por rastrear este problema e ajudar com o artigo.

A postagem Campanha de ataque malicioso visando usuários do Jetpack que reutilizam senhas apareceu primeiro em Wordfence .

Categories: Wordpress
Tags:

Related Posts

IT Info

Como digitar sobrescrito ou subscrito no Mac

Sobrescrito significa escrito ou impresso acima da linha, e subscrito significa escrito ou impresso abaixo da linha. Ao escrever fórmulas matemáticas (como expoente – 23), sufixos numéricos (como 1º, 2º, 3º), símbolos de direitos autorais Read more…

IT Info

Opinião: Um iPad pode ser usado inteiramente para gerenciar um blog em 2022?

A Apple fez muitos avanços com o iPad nos últimos anos e aí vem a questão de transição que muitos estão se perguntando por aí, com essa pergunta sendo “posso usar um iPad para gerenciar Read more…

IT Info

Mais utilidade para o Dogecoin, pois os sites WordPress agora podem aceitar pagamentos DOGE

O Dogecoin adicionou outro utilitário ao seu cinto. A moeda meme que tem sido a favorita dos fãs vem ganhando terreno recentemente em termos de capacidade de pagamento. Sua comunidade de apoiadores ávidos está liderando Read more…