Optinmonster (afb: AwesomeMotive)

Vertrouwde JavaScript-bestanden die worden gebruikt door WordPress-webstekken die PushEngage, OptinMonster en TrustPulse draaien, zijn veranderd om die weblocaties aan te vallen. Deze bestanden werden gebruikt om in te breken op de stekken. Wanneer een stekbeheerder was ingelogd op het moment dat het bestand werd geladen, creëerde de code een beheerdersprofiel waarvan de aanvaller gebruik kan maken en werd een verborgen bestandje op de computer gezet die een ‘achterdeurtje’ opende.
De kwetsbaarheden werden ontdekt door beveiligingbedrijf Sansec. In al de drie extensies werd de kwaadaardige code in Javascript gebruikt. Alle drie de progjes worden beheerd door het bedrijf Awesome Motive. Het bedrijf richt zich vooral op kleinere en middelgrote bedrijven die op het web actief zijn.

Beveiligingsbedrijf Sansec onthulde de bredere campagne op 13 juni en vond dezelfde kwaadaardige code in JavaScript die voor alle drie de plugins werd gebruikt. PushEngage, dat jaren geleden door Awesome Motive werd overgenomen, is tot nu toe de enige waarvan de gebruikers richtlijnen hebben ontvangen. Gebruikers van OptinMonster en TrustPulse hebben nog niets officieels vernomen.
Sansec schat dat de drie extensies samen op meer dan 1,2 miljoen weblocaties worden gebruikt, waarvan het grootste deel OptinMonster is (meer dan een miljoen gebruikers).
Het besmette script deed niets bij een normale paginaweergave. Het werd alleen actief wanneer een ingelogde WordPress-beheerder het laadde en vervolgens de sessie van die beheerder gebruikte om de controle over te nemen.
Door dit ontwerp is ook via het WordPress-dashboard niet zien of je webstek is getroffen. Het achterdeurtje is zo ontworpen dat deze niet zichtbaar is in de beheerdersschermen, waardoor de enige betrouwbare controle plaatsvindt op de server zelf.

Bron: hackernews.com