Οι ιστότοποι του WordPress παραβιάζονται για την εγκατάσταση κακόβουλων προσθηκών που εμφανίζουν ψεύτικες ενημερώσεις λογισμικού και σφάλματα για να προωθήσουν κακόβουλο λογισμικό που κλέβει πληροφορίες.
Τα τελευταία δύο χρόνια, το κακόβουλο λογισμικό κλοπής πληροφοριών έχει γίνει μάστιγα για τους υπερασπιστές της ασφάλειας παγκοσμίως, καθώς τα κλεμμένα διαπιστευτήρια χρησιμοποιούνται για την παραβίαση δικτύων και την κλοπή δεδομένων.
Από το 2023, μια κακόβουλη καμπάνια που ονομάζεται ClearFake χρησιμοποιείται για την εμφάνιση πλαστών banner ενημέρωσης του προγράμματος περιήγησης ιστού σε παραβιασμένους ιστότοπους που διανέμουν κακόβουλο λογισμικό που κλέβει πληροφορίες.
Το 2024, παρουσιάστηκε μια νέα καμπάνια με την ονομασία ClickFix που μοιράζεται πολλές ομοιότητες με το ClearFake, αλλά αντ’ αυτού προσποιείται ότι είναι μηνύματα σφάλματος λογισμικού με διορθώσεις που περιλαμβάνονται. Ωστόσο, αυτές οι “διορθώσεις” είναι σενάρια PowerShell που, όταν εκτελεστούν, θα κάνουν λήψη και εγκατάσταση κακόβουλου λογισμικού κλοπής πληροφοριών.
Οι καμπάνιες ClickFix έχουν γίνει όλο και πιο κοινές φέτος, με τους παράγοντες απειλών να παραβιάζουν ιστότοπους για να εμφανίζουν banner που εμφανίζουν ψεύτικα σφάλματα για το Google Chrome, τις διασκέψεις Google Meet, το Facebook, ακόμη και τις σελίδες captcha.
Κακόβουλα πρόσθετα WordPress
Την περασμένη εβδομάδα, ανέφερε ο GoDaddy ότι οι παράγοντες απειλών ClearFake/ClickFix έχουν παραβιάσει πάνω από 6.000 ιστότοπους WordPress για να εγκαταστήσουν κακόβουλες προσθήκες που εμφανίζουν τις ψεύτικες ειδοποιήσεις που σχετίζονται με αυτές τις καμπάνιες.
“Η ομάδα GoDaddy Security παρακολουθεί μια νέα παραλλαγή του ClickFix (επίσης γνωστής ως ClearFake) ψεύτικο κακόβουλο λογισμικό ενημέρωσης προγράμματος περιήγησης που διανέμεται μέσω ψευδών προσθηκών WordPress”, εξηγεί ο ερευνητής ασφαλείας της GoDaddy. Ντένις Σινεγκούμπκο.
“Αυτές οι φαινομενικά νόμιμες προσθήκες έχουν σχεδιαστεί για να φαίνονται αβλαβείς για τους διαχειριστές ιστότοπων, αλλά περιέχουν ενσωματωμένα κακόβουλα σενάρια που παρέχουν ψεύτικα μηνύματα ενημέρωσης προγράμματος περιήγησης στους τελικούς χρήστες.”
Τα κακόβουλα πρόσθετα χρησιμοποιούν ονόματα παρόμοια με τα νόμιμα πρόσθετα, όπως το Wordfense Security και το LiteSpeed Cache, ενώ άλλα χρησιμοποιούν γενικά, κατασκευασμένα ονόματα.
Η λίστα των κακόβουλων προσθηκών που εμφανίζονται σε αυτήν την καμπάνια μεταξύ Ιουνίου και Σεπτεμβρίου 2024 είναι:
LiteSpeed Cache Classic | Προσαρμοσμένο CSS Injector |
MonsterInsights Classic | Γεννήτρια προσαρμοσμένου υποσέλιδου |
Wordfence Security Classic | Προσαρμοσμένο στυλ σύνδεσης |
Search Rank Enhancer | Διαχειριστής δυναμικής πλευρικής γραμμής |
SEO Booster Pro | Easy Themes Manager |
Google SEO Enhancer | Form Builder Pro |
Rank Booster Pro | Γρήγορο καθαριστικό cache |
Admin Bar Customizer | Αποκριτικό μενού δημιουργίας |
Advanced User Manager | SEO Optimizer Pro |
Προηγμένη διαχείριση γραφικών στοιχείων | Απλός ενισχυτής ανάρτησης |
Content Blocker | Social Media Integrator |
Εταιρεία ασφάλειας ιστοσελίδων Sucuri Σημείωσε επίσης ότι ένα ψεύτικο πρόσθετο με το όνομα “Universal Popup Plugin” είναι επίσης μέρος αυτής της καμπάνιας.
Όταν εγκατασταθεί, η κακόβουλη προσθήκη θα συνδέσει διάφορες ενέργειες του WordPress ανάλογα με την παραλλαγή για να εισάγει ένα κακόβουλο σενάριο JavaScript στο HTML του ιστότοπου.
Όταν φορτωθεί, αυτό το σενάριο θα προσπαθήσει να φορτώσει ένα επιπλέον κακόβουλο αρχείο JavaScript που είναι αποθηκευμένο σε ένα έξυπνο συμβόλαιο Binance Smart Chain (BSC), το οποίο στη συνέχεια φορτώνει το σενάριο ClearFake ή ClickFix για να εμφανίσει τα ψεύτικα banner.
Από τα αρχεία καταγραφής πρόσβασης διακομιστή ιστού που αναλύθηκαν από τον Sinegubko, οι παράγοντες απειλών φαίνεται να χρησιμοποιούν κλεμμένα διαπιστευτήρια διαχειριστή για να συνδεθούν στον ιστότοπο του WordPress και να εγκαταστήσουν την προσθήκη με αυτοματοποιημένο τρόπο.
Όπως μπορείτε να δείτε από την παρακάτω εικόνα, οι φορείς απειλών συνδέονται μέσω ενός μόνο αιτήματος POST HTTP αντί να επισκεφθούν πρώτα τη σελίδα σύνδεσης του ιστότοπου. Αυτό υποδηλώνει ότι γίνεται με αυτοματοποιημένο τρόπο αφού έχουν ήδη ληφθεί τα διαπιστευτήρια.
Μόλις συνδεθεί ο παράγοντας απειλών, ανεβάζει και εγκαθιστά το κακόβουλο πρόσθετο.
Αν και δεν είναι σαφές πώς οι παράγοντες της απειλής αποκτούν τα διαπιστευτήρια, ο ερευνητής σημειώνει ότι αυτό θα μπορούσε να οφείλεται σε προηγούμενες επιθέσεις ωμής βίας, phishing και κακόβουλο λογισμικό κλοπής πληροφοριών.
Εάν είστε επιχείρηση του WordPress και λαμβάνετε αναφορές για ψευδείς ειδοποιήσεις που εμφανίζονται στους επισκέπτες, θα πρέπει να εξετάσετε αμέσως τη λίστα των εγκατεστημένων προσθηκών και να αφαιρέσετε όποια δεν εγκαταστήσατε μόνοι σας.
Εάν βρείτε άγνωστες προσθήκες, θα πρέπει επίσης να επαναφέρετε αμέσως τους κωδικούς πρόσβασης για τυχόν χρήστες διαχειριστή σε έναν μοναδικό κωδικό πρόσβασης που χρησιμοποιείται μόνο στον ιστότοπό σας.
VIA: bleepingcomputer.com