Το WordPress, το αγαπημένο σύστημα διαχείρισης περιεχομένου του Διαδικτύου, είναι ένας κοινός στόχος για τους εγκληματίες που θέλουν να κάνουν redirect τους αθώους χρήστες σε malware download sites.
Ένας νέος τύπος malware κλέβει τα login credentials των χρηστών, αφήνοντας όλα τα υπόλοιπα αμετάβλητα.
«Είναι μια ενδιαφέρουσα επίθεση — δεν την έχουμε ξαναδει πριν,» δήλωσε ο Michael Sutton, ο VP Security Research της εταιρείας-προμηθευτή cloud security Zscaler, Inc., η οποία παρουσίασε πρόσφατα μια έκθεση για το malware.
«Το WordPress τείνει να είναι ένας πολύ κοινός στόχος για επιθέσεις,» είπε. «Χρησιμοποιείται ευρέως, αλλά τείνει να είναι αρκετά επισφαλές και όχι καλά διατηρημένο. Χαρακτηριστικά, εγχέουν κάποιο κώδικα για να κάνουν redirect τον browser για να κατεβάσει Μalware και να συμμετάσχει έτσι το μηχάνημα σε κάποιο botnet.»
Το open source WordPress software αποτελεί αυτήν την περίοδο τα δύο τρίτα της αγοράς συστημάτων διαχείρισης περιεχομένου, σύμφωνα με την W3Techs, και αποτελεί το ένα τέταρτο όλων των websites.
Σε αυτήν την νέα επίθεση, οι WordPress pages λαμβάνουν ένα ανεπιθύμητο Javascript, αλλά αντί του redirecting των χρηστών σε ένα διαφορετικό site, κλέβει τα πιστοποιητικά τους καθώς προσπαθούν να κάνουν log in.
«Αυτό είναι ένα δυσκολότερο να ανιχνευθεί,» είπε.
Τα Sites που προσπαθούν να κατεβάσουν malware προσπαθούν να εγκαταστήσουν κάτι στη μηχανή του χρήστη.
«Αλλά εάν τα πιστοποιητικά μου συμβιβάζονται, δεν θα μπορούσα να έχω καμία γνώση ότι κάτι πάει στραβά,» δήλωσε ο Sutton.
Μέχρι στιγμής, ο Zscaler έχει προσδιορίσει 18 εκτεθειμένα websites, κάθε ένα από τα οποία στέλνει τα πιστοποιητικά στον ίδιο προορισμό- domain, το “conyouse.com.”
Εάν το domain name αλλάξει, ο Sutton είπε, το Zscaler μπορεί ακόμα να προστατεύσει τους πελάτες του ερευνώντας για ιδιαίτερο κώδικα, μεταβλητές και συμπεριφορές.
«Μην χρησιμοποιείτε τα ίδια πιστοποιητικά σε δύο διαφορετικά sites,» δηλώνει ο Sutton. «Τώρα που υπάρχουν διαθέσιμα αρκετά αξιόλογα εργαλεία διαχείρισης κωδικών πρόσβασης, είναι πολύ εύκολο να έχετε έναν πολύ-δύσκολο-να-σπάσει κωδικό πρόσβασης σε κάθε διαφορετικό site που χρησιμοποιείτε.»
[signoff icon=”icon-target”]Σύμφωνα με την δήλωσή του ο λόγος που οι cybercriminals κλέβουν τα πιστοποιητικά σύνδεσης δεν είναι τόσο για να εισβάλλουν στους προσωπικούς λογαριασμούς των χρηστών στα συγκεκριμένα sites από τα οποία πραγματοποιείται η κλοπή, αλλά το να προσπαθήσουν να επαναχρησιμοποιήσουν τα ίδια πιστοποιητικά αλλού, όπως το ηλεκτρονικό ταχυδρομείο ή τα social networking sites.[/signoff]
«Και επειδή οι άνθρωποι συνήθως επαναχρησιμοποιούν τα πιστοποιητικά τους, έχουν επιτυχία,» δήλωσε.
Σύμφωνα με την μέχρι τώρα έρευνα είναι σε θέση να δουν ότι τα μολυσμένα sites έτρεχαν είτε WordPress 4.1.5 είτε WordPress 4.2.2. Το τελευταίο είναι η πιό πρόσφατη έκδοση του λογισμικού.
