Αυτή η Κυριακή ξεκίνησε με χτύπημα. Η Google έβαλε στη μαύρη λίστα πάνω από 11.000 domains με την τελευταία επίθεση από το malware από το domain SoakSoak.ru:
Η ανάλυση που πραγματοποιήθηκε από τη Sucuri δείχνει ότι ο αριθμός των επηρεαζόμενων sites είναι της τάξης των 100.000 και αφορά συγκεκριμένες ιστοσελίδες Word Press. Ωστόσο δεν επιβεβαιώθηκε με ακρίβεια ο φορέας, αλλά μια προκαταρκτική ανάλυση δείχνει συσχέτιση με την ευπάθεια Revslider η οποία είχε ανακαλυφθεί πριν από λίγους μήνες.
Η επίθεση φαίνεται να επηρρεάζει τα περισσότερα hosts σε όλο το φάσμα του WordPress hosting
Η ανατομία του κακόβουλου λογισμικού “Soak Soak”
Μέσω της επίθεσης το αρχείο wp-includes/template-loader.php τροποποιείται ώστε να περιλαμβάνει αυτό το περιεχόμενο:
Αυτό έχει ως αποτέλεσμα να φορτωθεί το αρχείο wp-includes/js/swobject.js σε κάθε σελίδα του ιστότοπου, η οποία περιλαμβάνει το κακόβουλο λογισμικό.
Αυτό το κακόβουλο λογισμικό όταν αποκωδικοποιείται φορτώνει ένα JavaScript κακόβουλο λογισμικό από το domain SoakSoak.ru και συγκεκριμένα αυτό το αρχείο: hxxp: //soak soak.ru/xteas/code