Відомий копіпаст-сайті Pastebin, створений десять років тому, щоби програмісти могли ділитися вихідним кодом, нещодавно був використовувати кіберзлочинцями для атаки на мільйони користувачів.
Злом сайтів з метою розміщення на них шкідливих програм є типовим для хакерів, і тепер вони намагаються скомпрометувати величезна кількість користувачів разом. Зловмисники стали використовувати Pastebin для злому сайтів на WordPress.
Хакери експлуатують слабке місце в старих версіях RevSlider – поширеного плагіна WordPress. Плагін поставляє в комплекті з темами для сайтів, тому багато власників сайтів навіть не підозрюють про його наявність.
Щоб скористатися уразливістю, зловмисники шукають плагін RevSlider на сайтах-жертви, і, виявивши його, за рахунок уразливості в Revslider намагаються завантажити на сайт шкідливий бекдор.
Строго кажучи, кіберзлочинці використовують Pastebin за призначенням, тобто для того, щоб ділитися фрагментами коду. Єдиний підступ у тому, що шкідливий код і застосовується для здійснення злому безпосередньо з сайту Pastebin.
Був виявлений фрагмент коду, що впроваджує вміст закодованої за допомогою Base64 змінної $temp в файл ядра WordPress під назвою wp-links-opml.php. Частину коду скачивалась з легітимного сайту Pastebin.com і залежала від використання такого параметра, як wp_nonce_once, маскуючого факт звернення до файлу з Pastebin.
Параметр wp_nonce_once, зазвичай, застосовується для захисту від несподіваних або дубльованих запитів, також ускладнює блокування шкідливого коду і одночасно надає гнучкість бэкдору. А значить, бекдор можна змусити завантажити та виконати будь-який фрагмент коду, розміщений на Pastebin — навіть той, який не існував в момент впровадження бекдор. Потрібно лише направити запит через файл wp-links-opml.php.
Поки неясно, наскільки широко поширився підступний бекдор, але його вплив представляє чималу небезпеку, так як на сайті Pastebin 1.5 мільйона активних користувальницьких облікових записів.
Pastebin, що зародився в 2002 році, спочатку створювався як відкритий інтернет-форум, де розробники могли б ділитися програмним кодом. Проте сайт поступово завоював популярність у широкого спектру хакерів, у зв’язку з чим стало неймовірно важко відстежувати нелегальну активність на сайті. Багато групи хакерів діляться даними, викраденими у знаменитих компаній, через даний сервіс. Крім того, деякі файли з Pastebin, що містили зашифровані адреси і закодований за допомогою base64 шкідливий двійковий код, що використовувалися в процесі атак.
