Ο ερευνητής ασφαλείας Denis Sinegubko λέει ότι μια τεράστια διαφημιστική scam εκστρατεία επηρεάζει τους χρήστες που επισκέπτονται sites WordPress εγκαθιστώντας backdoors και γίνεται συνεχώς εκ νέου μόλυνση των sites.
Ο καταστροφέας ιών (@unmaskparasites) λέει ότι λέει ότι οι επιτιθέμενοι βάζουν κώδικα σε όλους τους φακέλους JavaScript στα στοχευμένα sites. Σύμφωνα με τον ερευνητή για πρώτη φορά οι χρήστες θα αντιμετωπίσουν κάποιο cookie που δημιουργεί δόλια έσοδα για τους Vxers.
“Το προηγούμενο Σαββατοκύριακο παρατηρήσαμε μια απότομη αύξηση των μολύνσεων στο WordPress όπου hackers είχαν βάλει κρυπτογραφημένο κώδικα στο τέλος όλων των αρχείων .js”, δήλωσε ο Sinegubko.
Αυτό το κακόβουλο λογισμικό ανεβάζει πολλαπλά backdoors σε διάφορα σημεία στο webserver και συχνά ενημερώνει τον κώδικα. Γι’ αυτό και πολλοί webmasters αντιμετωπίζουν συνεχείς εκ νέου μολύνσεις ακόμα κι αν έχουν καθαρίσει τα αρχεία .js τους.
Ο ερευνητής λέει ότι το κακόβουλο λογισμικό θα μολύνει όλα τα προσβάσιμα αρχεία .js σε όλους τους domains που βρίσκονται στον ίδιο hosting λογαριασμό, κάτι που είναι γνωστό ως cross-site μόλυνση.
Δεν είναι αρκετό να καθαρίσετε ένα μόνο site ή όλα γιατί πάντα ένα εγκαταλελειμμένο site θα είναι η πηγή της επαναμόλυνσης. Με άλλα λόγια πρέπει ή να απομονώσετε όλα τα sites ή να τα καθαρίσετε, ενημερώσετε και να τα προστατέψετε όλα την ίδια στιγμή .
Το κακόβουλο λογισμικό χρησιμοποιεί κρυπτογραφημένο κώδικα που μεταλλάσσεται μεταξύ των sites αλλά αποκρυπτογραφείται στην ίδια δομή! Εγκαθιστά ένα διαφημιστικό cookie το οποίο τοποθετεί αόρατα iframes στα sites σε περίοδο 24 ωρών.
Ο Sinegubko σημειώνει ότι το κακόβουλο λογισμικό που έχει μολύνει το WordPress χρησιμοποιεί domain shadowing το οποίο είναι αγαπημένο τρικ των Vxers για να προσθέσουν κακόβουλα subdomains σε δευτέρου επιπέδου domains αφού αποκτήσουν πρόσβαση σε DNS records.
Διαβάστε επίσης στο SecNews:
https://www.secnews.gr/100892/facebook-phishing-malware-scam-message/«Έχετε ένα νέο Facebook Message» >> ΠΡΟΣΟΧΗ στο νέο Scam!!
