Het benutten gecompromitteerd WordPress-sites is geen nieuws op het gebied van computerbeveiliging.
Echter, sommige campagnes lijken ernstiger dan anderen, en dus is deze. Hacked corporate websites en nieuws blogs die draait op WordPress worden momenteel uitgebuit door aanvallers in hun poging om backdoor malware te leveren.
Dit type malware opent de deur naar verdere kwaadaardige payloads, met inbegrip van informatie dieven, verschillende Trojaanse paarden, en keylogging software. Voor het uitvoeren van deze aanvallen, de dreiging acteurs gebruikt fake Chrome updates.
Hacked WordPress Sites - een maart 2020 Schadelijke Campagne
De eerste fase van deze kwaadaardige campagne omvat het verkrijgen van admin toegang tot de beoogde WordPress sites en blogs. Nadat het is volbracht, de dreiging acteurs inject kwaadaardige JavaScript-code die vervolgens gebruikers wordt omgeleid naar de nep Chrome-update.
In plaats van een update, de potentiële slachtoffers kan kwaadaardige installateurs die controle te geven over hun computers door middel van een TeamViewer installatie te downloaden. Zodra TeamViewer is geïnstalleerd op de besmette systeem, twee met een wachtwoord beveiligde SFX archieven geladen met schadelijke bestanden zal worden gedearchiveerd. Deze bevatten de benodigde bestanden naar de nep-update te openen en schakelt externe verbindingen. Een specifieke script te omzeilen Windows ingebouwde beveiligingen wordt ook geactiveerd.
Wat malware wordt gedownload op gecompromitteerd systemen?
- De X-Key Keylogger;
- De Predator en de dief informatie dieven;
- Een Trojaans voor afstandsbediening via RDP protocol.
Wie zit er achter deze campagnes?
beveiliging onderzoekers bij Dr. Web geloven dat dit de zelfde bedreiging acteurs die eerder betrokken waren bij het verspreiden van een nep-installateur van een populaire VSDC video-editor via de officiële website en de CNET downloaden platform.
Een eerdere kwaadaardige campagne, ontdekt in augustus 2019, leveraged WordPress plugins om hacken websites. Een reeks van populaire WordPress plugins bleken een security zwakte bevatten, waardoor hackers de controle gewenste sites te nemen om ze te infecteren met malware.
De lijst van de uitgebuite WordPress plugins opgenomen Simple 301 Omleidingen - Addon - Bulk Uploader en anderen ontwikkeld door NicDark. Om dergelijke campagnes te vermijden, WordPress site-eigenaren moeten een streng-update hygiëne waar alles wordt gehouden tijdig verbeterd en in orde te houden, WordPress zelf evenals eventueel extra geïnstalleerde software.