Ένα νέο malware με το όνομα Sign1 έχει μολύνει πάνω από 39.000 WordPress sites τους τελευταίους έξι μήνες, ανακατευθύνοντας τους επισκέπτες σε άλλες σελίδες και εμφανίζοντας ανεπιθύμητες διαφημίσεις.
Οι φορείς απειλών εισάγουν το κακόβουλο λογισμικό σε custom HTML widgets και νόμιμα plugins σε WordPress sites. Στόχος είναι η εισαγωγή κακόβουλων Sign1 scripts και όχι η τροποποίηση των πραγματικών αρχείων WordPress.
Η malware καμπάνια ανακαλύφθηκε από ερευνητές της εταιρείας ασφαλείας Sucuri, όταν ο ιστότοπος ενός πελάτη άρχισε να εμφανίζει αναδυόμενες διαφημίσεις στους επισκέπτες.
Sign1 malware και WordPress sites
Ο συγκεκριμένος πελάτης της Sucuri παραβιάστηκε μέσω επίθεσης brute force, αλλά δεν δόθηκαν λεπτομέρειες για τα υπόλοιπα παραβιασμένα sites.
Δείτε επίσης: Popup Builder plugin: Ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress sites
Ωστόσο, με βάση προηγούμενες επιθέσεις WordPress, θα μπορούσε να είναι ένας συνδυασμός επιθέσεων brute force και εκμετάλλευσης ευπαθειών σε διάφορα plugins για την απόκτηση πρόσβασης στο site.
Μετά την αρχική πρόσβαση, οι επιτιθέμενοι χρησιμοποιούν custom HTML widgets του WordPress ή εγκαθιστούν το νόμιμο Simple Custom CSS and JS plugin για να εισάγουν τον κακόβουλο κώδικα JavaScript.
Σύμφωνα με τους ερευνητές, το Sign1 malware χρησιμοποιεί randomization βάσει χρόνου για να δημιουργήσει dynamic URLs που αλλάζουν κάθε 10 λεπτά για να αποφύγουν τα μπλοκ. Τα domains καταχωρούνται λίγο πριν χρησιμοποιηθούν σε επιθέσεις, επομένως δεν περιλαμβάνονται σε λίστες αποκλεισμού.
Αυτές οι διευθύνσεις URL χρησιμοποιούνται για τη λήψη και εκτέλεση περαιτέρω κακόβουλων scripts στο πρόγραμμα περιήγησης ενός επισκέπτη.
Ο κώδικας που εισάγεται διαθέτει κωδικοποίηση XOR και φαινομενικά τυχαία variable names, καθιστώντας τον εντοπισμό πιο δύσκολο για τα εργαλεία ασφαλείας.
Ο κακόβουλος κώδικας ελέγχει για συγκεκριμένες παραπομπές και cookies πριν από την εκτέλεση, στοχεύοντας επισκέπτες από μεγάλα sites όπως Google, Facebook, Yahoo και Instagram. Σε άλλες περιπτώσεις, παραμένει αδρανής.
Επίσης, ο κώδικας δημιουργεί ένα cookie στο πρόγραμμα περιήγησης του στόχου, έτσι ώστε το αναδυόμενο παράθυρο να εμφανίζεται μόνο μία φορά ανά επισκέπτη. Με αυτόν τον τρόπο, μειώνονται οι πιθανότητες αναφοράς προς τον ιδιοκτήτη του παραβιασμένου WordPress site.
Δείτε επίσης: WordPress sites χρησιμοποιούν browsers επισκεπτών για παραβίαση άλλων sites
Στη συνέχεια, το script ανακατευθύνει τον επισκέπτη σε ιστότοπους απάτης, όπως ψεύτικα captcha και προσπαθεί να εξαπατήσει τους χρήστες ώστε να ενεργοποιήσουν τις ειδοποιήσεις του προγράμματος περιήγησης. Αυτές οι ειδοποιήσεις παρέχουν ανεπιθύμητες διαφημίσεις απευθείας στην επιφάνεια εργασίας του λειτουργικού συστήματος.
Η Sucuri προειδοποιεί ότι το κακόβουλο λογισμικό έχει εξελιχθεί και οι μολύνσεις αυξάνονται κάθε φορά που κυκλοφορεί μια νέα έκδοση.
Οι σαρωτές της Sucuri εντόπισαν το Sign1 malware σε πάνω από 39.000 WordPress sites.
Για να προστατεύσετε τους ιστότοπούς σας από αυτές τις καμπάνιες, χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης διαχειριστή και ενημερώστε όλα τα plugins που χρησιμοποιείτε στην πιο πρόσφατη έκδοση. Επίσης, είναι καλό να αφαιρούνται τα περιττά plugins. Τέλος, δημιουργήστε τακτικά αντίγραφα ασφαλείας των ιστοσελίδων σας. Αυτό μπορεί να είναι ζωτικής σημασίας για την αποκατάσταση της ιστοσελίδας σε περίπτωση που παραβιαστεί.
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Δείτε επίσης: Popup Builder plugin: Ευπάθεια θέτει σε κίνδυνο χιλιάδες WordPress sites
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress (από malware όπως το Sign1) μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: www.bleepingcomputer.com