پژوهشگران Defiant، شرکت پشتیبان افزونهی امنیتی Wordfence برای وبگاههای وردپرس، یک پویش تبلیغافزاری کشف کردهاند که از آسیبپذیریهای افزونهی جدید برای تزریق کد مخرب به وبگاهها استفاده میکند. نفوذگران از آسیبپذیریهای موجود در افزونههای وردپرس مانند «coming Soon and Maintenance Mode»، «Yellow Pencil Visual CSS Style Editor» و «Blog Designer» برای دستیابی به اهداف خود استفاده میکنند. هریک از این افزونهها هزاران یا دهها هزار نصب فعال دارند.
بهگفتهی Defiant، مهاجمان از این آسیبپذیریها برای تزریق یک قطعه کد جاوا اسکریپت کوچک در وبگاههای وردپرس آسیبدیده بهرهبرداری میکنند. این اسکریپت برای واکشی کدهای بیشتر از یک دامنهی خارجی و اجرای آن کد در زمان بازدید کاربر از وبگاه آسیبدیده طراحی شده است.
قربانیان ابتدا به یک دامنهای هدایت میشوند که نوع دستگاهی که از آن استفاده میکنند، بررسی میکند، طبق این بررسی و سایر عوامل، آنها را به یکی از انواع مقاصد مخرب یا کلاهبرداری ازجمله کلاهبرداریهای فنی و برنامههای اندرویدی مخرب هدایت میکند. در برخی موارد، این بهرهبرداری بهطور مستقیم مرورگر کاربر را هدف قرار میدهد و تلاش میکند تا آنها را متقاعد کند و روی عناصر متفاوت کلیک کنند.
مهاجمان از آسیبپذیریهای XSS ذخیرهشده در Blog Designer و Coming Soon and Maintenance Mode و یک ضعف در بهروزرسانی گزینههای دلخواه غیرمجاز در افزونهی Yellow Pencil بهرهبرداری کرده است. آسیبپذیری Yellow Pencil اولین بار در ماه آوریل و تنها چند روز پس از آنکه پژوهشگری جزئیات آن را افشا کرد و یک اثبات مفهومی منتشر کرد، بهرهبرداری شد. این آسیبپذیری میتواند برای مهاجمان بسیار مفید باشد، زیرا به آنها اجازه میدهد تا کاربران مدیر جدیدی ایجاد کنند و به آنها این امکان را میدهد تا بهراحتی کنترل یک وبگاه وردپرس را به دست گیرند.
بیشتر تزریقهای XSS در سراسر این پویش توسط آدرسهای آیپی مرتبط با ارائهدهندگان خدمات میزبانی محبوب ارسال شده بودند. با حملاتی که منبع آنها آدرسهای آیپی میزبان چند وبگاه زنده بود و شواهد مربوط به آلودگی وبگاههای مرتبط با این پویش، احتمال آن وجود دارد که این عامل تهدید درحال استفاده از وبگاههای آلوده برای انجام حملات XSS بهوسیلهی پروکسی است.