Wordpress-oldalak tízezreit használja egy új malware-kampány
A támadók ezrével vonják be a sérülékeny Wordpress-alapú oldalakat a malware-terjesztésbe. A VisitorTracker névre keresztelt kampány felfedezői szerint két hete folyik, és egy egyelőre ismeretlen hibát használ ki.
Új, Wordpress-alapú oldalakon keresztül terjedő malware-kampányról számolt be ma a Sucuri nevű IT-biztonsági cég. A blogbejegyzés szerint a támadássorozat szeptember 7-én indult, és az első napokban még alacsony volt a fertőzési ráta, sőt, a cég mérései alapján néhány nap elteltével szinte teljesen megállt a terjedés. E hét keddjén azonban vélhetően néhány nagyobb forgalmú oldal sikeres megfertőzése után berobbant a VisitorTracker névre keresztelt kampány lendülete, a biztonsági cég mérései szerint csütörtökön már napi hatezer oldalas sebességgel terjedt.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A Sucuri egyelőre még nem találta meg a belépési pontot, a szakértők eddigi vizsgálata alapján nem maga az alap Wordpress motorban, hanem valamelyik beépülőben lehet egy eddig ismeretlen sérülékenység. Ennek kihasználásával a támadók az oldalon futó összes JavaScript állományhoz hozzáadják saját rosszindulatú kódjukat, illetve nyitnak egy hátsó ajtót - ezek segítségével, egy iframe-en keresztül az oldalra látogató felhasználók gépét az évek óta ismert és folyamatosan fejlesztett Nuclear Exploit csomaggal támadják meg. Ez végigteszteli az adott rendszert számos általa ismert sérülékenységre (például különböző böngészők, Adobe Flash és Reader), és ha talál belépési pontot, trójait, ransomware-t vagy egyéb malware-t képes a gépre juttatni.
Forrás: Sucuri
A VisitorTracker készítői által kihasznált sérülékenység annyira új (és mások által egyelőre ismeretlen), hogy kihasználásával még egy nagyobb, komoly ügyfelekkel rendelkező IT-biztonsági vállalat, a Coverity honlapját is sikerült megfertőzniük - erről a MalwareBytes egyik kutatója értesítette a Sucurit.
Forrás: MalwareBytes
A cég egyébként már a kampány felfedezésekor elhelyezett egy rövid bejelentést honlapján, a fertőzési ütem drasztikus felgyorsulásával azonban már szélesebb körű tájékoztatásnak látta szükségét. Ez érthető, hiszen a Wordpress a világ egyik legnépszerűbb webes tartalommenedzsment-platformja, amely akár jelentős forgalmú (és így potenciálisan kiemelten veszélyes gócpontnak minősülő) hírportálok alapjaként is szolgál.
A Sucuri szerint a fertőzött oldalak egy részét már a Google és egyébb linkszűrő szolgáltatások is elkezdték feketelistázni, az arány azonban még meglehetősen alacsony, mindössze 17 százalék - az ügy "kipattanásával" és a rendszerek finomhangolásával valószínűleg ez a szám a napokban jelentősen emelkedni fog. A biztonsági cég ingyenes, a VisitorTrackerre már felkészített eszközével bárki ellenőrizheti oldalát. A fertőzés eltávolítására a cég a kompromittált JavaScript állományok korábbi, tiszta mentésből történő visszaállítását ajánlja.