Аналитики компании Wordfence обратили внимание, что XSS-уязвимость в плагине Coming Soon Page & Maintenance Mode, известно о которой стало на прошлой неделе, уже используется злоумышленниками.
Уязвимость позволяет неавторизованным злоумышленникам внедрять JavaScript или HTML на фронтэнд уязвимых сайтов, работающих с версией плагина 1.7.8 или ниже. Данный код помогает загрузить на сайте пейлоад со стороннего домена, подконтрольного злоумышленникам
Таким образом, сначала жертв перенаправляются на домен, который проверяет тип используемого ими устройства, User-Agent и, основываясь на этом и других факторах, перенаправляет посетителя на один из типов вредоносных сайтов (ресурсы фальшивой технической поддержки, порносайты, загрузка различных APK для Android, подозрительные фармацевтические страницы). Также исследователи обнаружили сайты, пытающиеся напрямую атаковать браузер пользователя при помощи различных уловок и эксплоитов.
Источник