Ερευνητές της Malwarebytes ανακάλυψαν πολλαπλές ιστοσελίδες WordPress που είχαν μολυνθεί με το ύπουλο πρόσθετο Fuser-master που έχει σχεδιαστεί για να παράγει διαφημιστική κίνηση χωρίς ανίχνευση.
Δείτε επίσης: 5.000 WordPress sites επηρεάζονται από κρίσιμα flaws στο plugin LearnPress
Σε μια ανάρτηση blog που περιέγραφε την έρευνά τους, οι συγγραφείς ανέφεραν ότι “μερικές δεκάδες” ιστοσελίδες WordPress είχαν επηρεαστεί από έναν άγνωστο δράστη που εγκατέστησε backdoor με τίτλο “fuser-master”.
Το Fuser-master είναι ένα καινοτόμο εργαλείο που δημιουργεί ένα εξειδικευμένο URL. Όταν οι χρήστες κάνουν κλικ σε αυτό, θα οδηγούνται αυτόματα στο νόμιμο ιστολόγιο παράλληλα με μια popunder σελίδα που εμφανίζεται στο παρασκήνιο. Αυτό το αναδυόμενο παράθυρο από μια εξωτερική σελίδα έχει τη δυνατότητα να προβάλλει μια ποικιλία διαφημίσεων.
Το πρόσθετο WordPress θα προσομοιώσει στη συνέχεια την ανθρώπινη συμπεριφορά, κάνοντας κύλιση στη σελίδα και στη συνέχεια κλικ σε μια διαφήμιση. Σε περίπτωση που ο χρήστης περιηγηθεί, μετακινήσει τον κέρσορα ή προβεί σε οποιαδήποτε άλλη ενέργεια, το πρόσθετο θα σταματήσει αμέσως τη δραστηριότητά του και θα γίνει ακόμη πιο δυσδιάκριτο.
Φημολογείται ότι η σελίδα popunder θα ανανεωνόταν σε τακτά χρονικά διαστήματα, εισάγοντας νέες διαφημίσεις με κάθε επαναφόρτωση. Επιπλέον, εάν ο χρήστης κλείσει το πρόγραμμα περιήγησής του και εκτεθεί ξανά στο αναδυόμενο παράθυρο, κάθε δραστηριότητα θα σταματήσει αμέσως.
Δείτε ακόμα: Το GoTrim botnet στοχεύει ιστότοπους WordPress
Η Malwarebytes αποκάλυψε ότι συνολικά 50 blogs είχαν εκτεθεί από το fuser-master. Τον Ιανουάριο, ένας από τους δικτυακούς τόπους κατέγραψε τον εκπληκτικό αριθμό των 4 εκατομμυρίων επισκέψεων σε έναν μόνο μήνα, με τους επισκέπτες να παραμένουν κατά μέσο όρο 25 λεπτά ανά επίσκεψη. Αυτό κατέδειξε την αξιοσημείωτη δέσμευση των χρηστών και τη δύναμη του συγκεκριμένου ιστότοπου.
Οι συγγραφείς του Fuser-master κατέβαλαν μεγάλες προσπάθειες για να παραμείνουν ανώνυμοι. Το πρόσθετο ήταν εξαιρετικά δύσκολο να βρεθεί, και φαινόταν να έχει εξαφανιστεί χωρίς ίχνη του ονόματος του συγγραφέα ή μιας ιστοσελίδας λήψης πουθενά. Μετά από εξαντλητική έρευνα, η μόνη ένδειξη που μπόρεσε να ανακαλύψει η ομάδα της Malwarebytes ήταν μια αναφορά σε έναν ανιχνευτή θεμάτων WordPress στο themesinfo.com.
Αρχικά, η πλειονότητα των ιστολογίων εκεί φαίνεται να είναι αξιόπιστη. Ωστόσο, όταν ένας χρήστης εισάγει την προσαρμοσμένη διεύθυνση URL και άλλες παραμέτρους, αρχίζουν να εμφανίζονται στον ιστότοπο δόλιες διαφημίσεις.
Δείτε επίσης: WPGateway: Βρέθηκε σοβαρό zero-day bug στο WordPress plugin
Το WordPress είναι ένα σύστημα διαχείρισης περιεχομένου (CMS) ανοιχτού κώδικα που τροφοδοτεί πάνω από το 33% όλων των ιστότοπων στο διαδίκτυο. Χρησιμοποιείται από εκατομμύρια ανθρώπους σε όλο τον κόσμο για την κατασκευή των δικών τους ιστότοπων και ιστολογίων. Πρόκειται για δωρεάν λογισμικό που μπορεί να μεταφορτωθεί από το wordpress.org και στη συνέχεια να εγκατασταθεί σε έναν διακομιστή ιστού (ή να φιλοξενηθεί μέσω μιας υπηρεσίας τρίτου μέρους). Μόλις εγκατασταθεί, μπορείτε να προσαρμόσετε τον ιστότοπό σας με θέματα, πρόσθετα, widgets κ.λπ.
