Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Hackers benutten ongepaarde bug in uitgebreide beoordelingen WordPress Plugin

Cyber security Envicom todayseptember 25, 2019 4

Background
share close

Sitebeheerders die nog steeds het Rijke Reviews plug-in voor WordPress gebruiken, zijn gemakkelijke doelen, omdat hackers nu een ongeëvenaarde kwetsbaarheid voor malvertising campagnes te benutten.

Maar toch de plug-in meer dan zes maanden geleden om veiligheid redenen uit de WordPress bewaarplaats is verwijderd, wordt geschat dat deze nog steeds door 16.000 websites wordt uitgevoerd.

Bekende XSS payload

De plug-in is kwetsbaar voor niet-geverifieerde updates van de plug-inoptie en aanvallers gebruiken deze om opgeslagen cross-site scripting (XSS) ladingen te leveren. Het Java Script wordt geactiveerd door zowel websitebezoekers als geverifieerde beheerders.

Volgens onderzoekers van Defiant zijn er twee problemen die de aanval toelaten. De ene is een gebrek aan toegang controle voor het wijzigen van de opties van de plug-in, en de andere is niet het opschonen van de waarden van de opties.

De malvertising campagne levert bijna identieke XSS-payload zoals te zien is bij soortgelijke operaties die sinds april zijn gevolgd. Het bedrijf heeft dit jaar minstens drie rapporten gepubliceerd.

Het doel van de bedreiging acteur is om gebruikers om te leiden naar gevaarlijke bestemmingen zoals oplichting door technische ondersteuning, kwaadaardige Android pakketten, frauduleuze websites of malware locaties. Een ander doel lijkt pop-ups te zijn die dubieuze farmaceutische producten promoten.

Een rapport van dinsdag meldt dat er drie IP-adressen aan deze campagne zijn gekoppeld:

  • 94.229.170.38
  • 183.90.250.26
  • 69.27.116.3

Wanneer de inhoud is verdwenen, voert de payload een script uit met de naam ‘place.js’ dat wordt gehost op het domein adsnet [.] Werk.

Defiant beveelt websitebeheerders aan die Rich Reviews nog actief hebben om een ​​alternatief te vinden en de plug-in van hun site te verwijderen.

Ontwikkelaar belooft terug te keren

Het lijkt erop dat de auteurs van de plug-in zich bewust zijn van het beveiligingslek en eraan werken. Een beheerder die door de campagne werd beïnvloed, heeft vorige week geklaagd over drie van haar websites die zijn geïnfecteerd door een kwaadaardig script dat aan deze malvertising campagne is gekoppeld.

Nuanced Media, de ontwikkelaar van de plug-in, antwoordde door te zeggen dat ze een comeback plannen in de komende twee weken. Alle sites waarop het Rijke Reviews is geïnstalleerd, zijn echter potentiële doelen, maar niet als ze het product verwijderen.

Zelfs als ontwikkelaars met een oplossing komen, zou het Rijke Reviews gebruikers echter pas bereiken als de plug-in weer in de WordPress bewaarplaats komt.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *