Plugins como o “Coming Soon and Maintenance Mode,” “Yellow Pencil Visual CSS Style Editor” e “Blog Designer.” são alguns exemplos dos que estão instalados em milhares de websites.

Os atacantes injetam um pequeno pedaço de código Javascript desenhado para adicionar um código adicional de um domínio externo e executa-o sempre que o visitante ou utilizador faz o pedido ou pesquisa pelo website comprometido.

O utilizador é redirecionado inicialmente a um domínio usado para verificar o tipo de dispositivo do utilizador, e depois o código malicioso redireciona o utilizador a outros websites maliciosos, incluindo scams ou esquemas de suporte de IT e sites que devolvem APK's maliciosos.

Além disso, os atacantes conseguiram explorar falhas de XSS persistentes ou armazenadas no plugin modo Blog Designer and Coming Soon and Maintenance, e também uma falha recorrente derivada de um problema na atualização do Yellow Pencil que resultaria em execução ou disponibilidade de outras opções para o utilizador sem que o mesmo estivesse autenticado. Este último caso foi explorado numa campanha de abril, em que os atacantes fizeram atualizações de opções completamente arbitrárias, sendo que o parâmetro onde a falha reside é o yp_remote_get, retratando essencialmente uma situação ou possibilidade de elevação de privilégios do utilizador regular.

Fonte: https://threatpost.com/wordpress-plugin-flaws-exploited-in-ongoing-malvertising-campaign/146629/