WP3.XYZ 恶意软件攻击在 5000 多个 WordPress 网站上添加恶意管理员

HackerNews 编译，转载请注明出处：

一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。

网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。

在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。

创建非法管理员账户（图片来源：c/side）

随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。

据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。

攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。

阻止攻击

c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。

此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。

最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。

同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文