Частная калифорнийская компания Sucuri сообщает, что с начала месяца число таких взломов превысило пятьдесят тысяч.
Уязвимость в новостном плагине MailPoet позволяет загружать на взломанный сайт вредоносный код и перехватывать управление. Ошибка была обнаружена ещё месяц назад и устранена в версии плагина 2.6.7, вышедшей первого июля. Однако в сети до сих пор остаётся большое число сайтов, на которых WordPress рабтает с непропатченным плагином. Только из официального репозитория уязвимая версия была скачена около двух миллионов раз.
Исследование проблемы заняло у экспертов Sucuri трое суток. После длительного мониторинга с использованием имитаторов уязвимых сайтов они выяснили, что атака в большинстве случаев выполняется автоматически, а её темпы растут.
Обычно взлом происходит при участии ботнетов и начинается с команды загрузки злонамеренно модифицированной темы (editTemplate). После этого бэкдор внедряется в /themes/mailp/, инфицирует /mailp/index.php и начинает заражать другие файлы. Основная задача атакующей стороны – получить контроль над сайтом, для выполнения таких действий, как дефейс, рассылка спама и распространение троянских программ.