Hacking
Νέα Εκστρατεία Κακόβουλου Λογισμικού στο WordPress
Κακόβουλο λογισμικό μεταμφιεσμένο σε πρόσθετο ασφαλείας στο WordPress επιτρέπει απομακρυσμένη πρόσβαση σε επιτιθέμενους. Ανακαλύψτε τις τεχνικές.
Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αποκαλύψει μια νέα εκστρατεία που στοχεύει ιστότοπους WordPress, μεταμφιέζοντας κακόβουλο λογισμικό ως πρόσθετο ασφαλείας. Το πρόσθετο με την ονομασία “WP-antymalwary-bot.php” διαθέτει ποικιλία λειτουργιών για να διατηρεί την πρόσβαση, να κρύβεται από τον πίνακα διαχείρισης και να εκτελεί απομακρυσμένο κώδικα.
Λειτουργίες και Τεχνικές Κακόβουλης Επίθεσης
Η λειτουργία pinging που περιλαμβάνεται, μπορεί να αναφέρει πίσω σε έναν διακομιστή command-and-control (C&C), ενώ υπάρχει και κώδικας που βοηθά στη διάδοση κακόβουλου λογισμικού σε άλλους καταλόγους και στην έγχυση κακόβουλου JavaScript που είναι υπεύθυνο για την προβολή διαφημίσεων, σύμφωνα με τον Marco Wotschka από το Wordfence.
Εξέλιξη και Εξάπλωση του Κακόβουλου Λογισμικού
Αρχικά ανακαλύφθηκε κατά τη διάρκεια καθαρισμού ιστότοπου στα τέλη Ιανουαρίου 2025 και από τότε έχουν εντοπιστεί νέες παραλλαγές του κακόβουλου λογισμικού. Άλλα ονόματα που χρησιμοποιούνται για το πρόσθετο περιλαμβάνουν τα addons.php, wpconsole.php, wp-performance-booster.php, και scr.php.
Εκμετάλλευση και Διανομή Κακόβουλου Κώδικα
Μόλις εγκατασταθεί και ενεργοποιηθεί, παρέχει στους επιτιθέμενους πρόσβαση διαχειριστή στον πίνακα ελέγχου και χρησιμοποιεί το REST API για να διευκολύνει την απομακρυσμένη εκτέλεση κώδικα, εγχέοντας κακόβουλο κώδικα PHP στο αρχείο κεφαλίδας του θέματος του ιστότοπου ή καθαρίζοντας τις κρυφές μνήμες δημοφιλών πρόσθετων caching.
Νέες Τεχνικές και Ενδείξεις Προέλευσης
Μια νέα έκδοση του κακόβουλου λογισμικού περιλαμβάνει αξιοσημείωτες αλλαγές στον τρόπο διαχείρισης των εγχύσεων κώδικα, αντλώντας κώδικα JavaScript από άλλο παραβιασμένο domain για την προβολή διαφημίσεων ή spam. Το πρόσθετο συνοδεύεται επίσης από ένα κακόβουλο αρχείο wp-cron.php, το οποίο αναδημιουργεί και επανενεργοποιεί το κακόβουλο λογισμικό αυτόματα στην επόμενη επίσκεψη του ιστότοπου, εάν αφαιρεθεί από τον κατάλογο των προσθέτων.
Συμπληρωματικές Κακόβουλες Ενέργειες
Η αποκάλυψη αυτή έρχεται καθώς η Sucuri ανέλυσε μια εκστρατεία web skimmer που χρησιμοποιεί ένα ψεύτικο domain γραμματοσειρών με την ονομασία “italicfonts[.]org” για να εμφανίσει μια ψεύτικη φόρμα πληρωμής στις σελίδες ολοκλήρωσης αγοράς, κλέβοντας τις εισαγόμενες πληροφορίες και εξάγοντας τα δεδομένα στον διακομιστή του επιτιθέμενου.
Μια άλλη “προηγμένη, πολυεπίπεδη επίθεση καρτών” που εξετάστηκε από την εταιρεία ασφάλειας ιστότοπων στοχεύει πύλες ηλεκτρονικού εμπορίου Magento με κακόβουλο JavaScript σχεδιασμένο να συλλέγει ένα ευρύ φάσμα ευαίσθητων πληροφοριών.
Επιπτώσεις και Συμπεράσματα
Οι επιτιθέμενοι έχουν επίσης παρατηρηθεί να εγχέουν κώδικα Google AdSense σε τουλάχιστον 17 ιστότοπους WordPress σε διάφορα σημεία με στόχο την παράδοση ανεπιθύμητων διαφημίσεων και τη δημιουργία εσόδων είτε ανά κλικ είτε ανά προβολή.
Επιπλέον, παραπλανητικές επαληθεύσεις CAPTCHA που εξυπηρετούνται σε παραβιασμένους ιστότοπους έχουν βρεθεί να εξαπατούν τους χρήστες να κατεβάσουν και να εκτελέσουν backdoors βασισμένα σε Node.js που συλλέγουν πληροφορίες συστήματος, παρέχουν απομακρυσμένη πρόσβαση και αναπτύσσουν ένα απομακρυσμένο trojan (RAT) βασισμένο σε Node.js, το οποίο έχει σχεδιαστεί για να διοχετεύει κακόβουλη κίνηση μέσω SOCKS5 proxies.
