versiones sin parches del carro abandonado por un WooCommerce plug-in para WordPress han sido explotados en los ataques, los investigadores dicen. Al parecer,, hay una peligrosa XSS (cross-site scripting) vulnerabilidad en el plugin que afecta tanto a las versiones de pago y gratuitas del plugin.
El mes pasado, un script de páginas web almacenada (XSS) falla fue parcheado en la versión 5.2.0 del WordPress Plugin populares abandonado la Cesta Lite para WooCommerce, dijo que los investigadores Wordfence.
Carro abandonado por un plugin de WordPress WooCommerce explotado en ataques
El carro abandonado por un WooCommerce plug-in plug-in está diseñado para ayudar a los propietarios de sitios WooCommerce para rastrear los carros de compras abandonados con el fin de recuperar esas ventas. Sin embargo, los investigadores descubrieron “la falta de saneamiento tanto de entrada como de salida” que permite a los atacantes inyectar cargas útiles de JavaScript malicioso en diversos campos de datos. Estas cargas se establecen para ejecutar cuando un usuario ha iniciado la sesión con privilegios de administrador ve la lista de los carros abandonados de su panel de WordPress.
¿Cómo se lleva a cabo el ataque? Los cibercriminales crean un carrito con información de contacto falsa, que está abandonado. De acuerdo con el informe, los nombres y correos electrónicos son aleatorios, pero las peticiones siguen el mismo patrón: el nombre y apellido generada se suministran juntos como billing_first_name, pero el campo billing_last_name contiene la carga inyectada .
Тhe acortador bit.ly utilizado en estos ataques resuelve hXXps://CDN-BigCommerce[.]com / visionstat.js.
El dominio, que trata de buscar inocua haciéndose pasar por el legítimo cdn.bigcommerce.com, apunte al comando y control (C2) servidor detrás de la infección. El guión de destino, visionstat.js, es una carga útil de JavaScript malicioso que utiliza la propia sesión del navegador de la víctima para desplegar puertas traseras en su sitio.
Cabe señalar que dos puertas traseras están desplegados en los ataques: Se crea una cuenta de administrador rogue, y un plugin desactivado está infectado con un script de ejecución de código. Ambas acciones se ejecutan mediante la creación de un iframe oculto en la ventana del navegador existente del administrador, a continuación, la simulación del proceso de rellenar y enviar los formularios necesarios dentro de ella, investigadores dijeron.
Los investigadores habían detectado 5,251 accede al enlace bit.ly asociada a los ataques.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: