Ένα νέο κακόβουλο λογισμικό (backdoor) παρουσιάζεται σαν νόμιμο caching plugin και στοχεύει WordPress sites, επιτρέποντας σε επιτιθέμενους να δημιουργήσουν έναν λογαριασμό διαχειριστή και να ελέγχουν τη δραστηριότητα του ιστότοπου.
Το backdoor διαθέτει διάφορες λειτουργίες που του επιτρέπουν να διαχειρίζεται plugins και να κρύβεται στους παραβιασμένους ιστότοπους, να αντικαθιστά περιεχόμενο ή να ανακατευθύνει χρήστες σε κακόβουλες τοποθεσίες.
Ψεύτικο caching plugin
Αναλυτές της Defiant, κατασκευαστές του Wordfence security plugin για το WordPress, ανακάλυψαν το νέο κακόβουλο λογισμικό τον Ιούλιο.
Ρίχνοντας μια πιο προσεκτική ματιά στο backdoor, οι ερευνητές παρατήρησαν ότι συνοδεύεται από ένα σχόλιο (που μοιάζει αρκετά επαγγελματικό) και το παρουσιάζει ως εργαλείο caching, το οποίο συνήθως βοηθά στη βελτίωση του χρόνου φόρτωσης της σελίδας.
Δείτε επίσης: Balada Injector attacks: 17.000 WordPress sites παραβιάστηκαν
Οι δημιουργοί του backdoor το έχουν δημιουργήσει έτσι και μιμούνται το συγκεκριμένο εργαλείο για να περνούν απαρατήρητοι. Επίσης, το κακόβουλο πρόσθετο έχει ρυθμιστεί να εξαιρείται από τη λίστα των “ενεργών plugins”, κάτι που το βοηθά να αποφύγει τον έλεγχο.
Δυνατότητες του WordPress backdoor
Δημιουργία χρήστη: Μια συνάρτηση δημιουργεί έναν χρήστη με το όνομα “superadmin” με hard-coded password και δικαιώματα σε επίπεδο διαχειριστή, ενώ μια δεύτερη μπορεί να αφαιρέσει αυτόν τον χρήστη για να σβήσει το ίχνος της μόλυνσης.
Ανίχνευση bot: Κατά την ανίχνευση bots (π.χ. ανιχνευτές μηχανών αναζήτησης), το κακόβουλο λογισμικό παρουσιάζει διαφορετικό περιεχόμενο, όπως spam περιεχόμενο, με αποτέλεσμα να ευρετηριάσουν τον παραβιασμένο ιστότοπο για κακόβουλο περιεχόμενο. Ως εκ τούτου, οι διαχειριστές θα μπορούσαν να δουν μια ξαφνική αύξηση της επισκεψιμότητας ή αναφορές από χρήστες που παραπονιούνται για ανακατεύθυνσή τους σε κακόβουλες τοποθεσίες.
Αντικατάσταση περιεχομένου: Το κακόβουλο λογισμικό μπορεί να αλλάξει αναρτήσεις και περιεχόμενο μιας σελίδας και να εισάγει spam links ή buttons.
Έλεγχος plugins: Οι χειριστές κακόβουλου λογισμικού μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν απομακρυσμένα πρόσθετα WordPress στον παραβιασμένο ιστότοπο. Καθαρίζει επίσης τα ίχνη του από τη βάση δεδομένων του ιστότοπου. Έτσι, αυτή η δραστηριότητα παραμένει κρυφή.
Remote invocation: Το backdoor ελέγχει για συγκεκριμένα user agent strings, επιτρέποντας στους εισβολείς να ενεργοποιούν εξ αποστάσεως διάφορες κακόβουλες λειτουργίες.
Σύμφωνα με τους ερευνητές, όλα αυτά τα χαρακτηριστικά, σε συνδυασμό, παρέχουν στους εισβολείς όλα όσα χρειάζονται για να ελέγχουν το site, επηρεάζοντας τόσο το ίδιο το site όσο και τους επισκέπτες.
Δείτε επίσης: Βρέθηκε backdoor σε οικονομικά Android TV boxes
Προς το παρόν, η Defiant δεν έχει δώσει λεπτομέρειες σχετικά με τον αριθμό των ιστότοπων που έχουν παραβιαστεί με το νέο backdoor και δεν έχουν προσδιορίσει πώς ξεκινά η επίθεση.
Οι τυπικές μέθοδοι για την παραβίαση ενός ιστότοπου περιλαμβάνουν κλεμμένα credentials, brute-forcing passwords ή εκμετάλλευση ευπάθειας σε plugin ή θέμα.
H Defiant κυκλοφόρησε ένα detection signature για τους χρήστες της δωρεάν έκδοσης Wordfence και πρόσθεσε ένα firewall rule για την προστασία των χρηστών Premium, Care και Response από το backdoor.
Στη σύγχρονη εποχή της ψηφιακής τεχνολογίας, η ασφάλεια στον κυβερνοχώρο αποτελεί ένα ολοένα και πιο προκλητικό πεδίο μάχης. Η προσοχή μας είναι πλέον στραμμένη προς τις επιθέσεις εναντίον ιστοτόπων WordPress.
To backdoor που ανακαλύφθηκε πρόσφατα, δημιουργεί σοβαρό κίνδυνο για τους ιδιοκτήτες ιστοσελίδων, καθώς οι επιτιθέμενοι μπορούν να έχουν πρόσβαση, να ελέγχουν και κατά συνέπεια να καταστρέφουν το περιεχόμενο που φιλοξενείται σε αυτές.
Δείτε επίσης: SprySOCKS: Νέο Linux backdoor χρησιμοποιείται σε κινεζικές εκστρατείες κατασκοπείας
Πώς μπορούμε να προστατευθούμε;
Παρόλο που η εικόνα που δημιουργεί αυτός ο κίνδυνος μπορεί να φαίνεται απαισιόδοξη, υπάρχουν βήματα που μπορούν να ληφθούν για την αντιμετώπιση αυτής της απειλής. Δεν πρέπει να αμελούμε την σημασία των ενημερώσεων συστήματος και της εγκατάστασης αξιόπιστων λύσεων ασφαλείας. Επίσης, οι ιδιοκτήτες ιστότοπων θα πρέπει να χρησιμοποιούν ισχυρά και μοναδικά credentials για λογαριασμούς διαχειριστή, να διατηρούν ενημερωμένα τα plugins τους και να αφαιρούν αχρησιμοποίητα add-ons και χρήστες. Πάνω απ’ όλα, το να είστε ενήμεροι και προσεκτικοί με τις ενέργειές σας, σε αυτόν τον ψηφιακό κόσμο, είναι αποφασιστικός παράγοντας για την ασφάλεια.
Πηγή: www.bleepingcomputer.com