افشای یک افزونه امنیتی جعلی در وردپرس: راه نفوذ مهاجمان به مدیریت سایت از راه دور!

به گزارش زوم تک از Wordfence، محققان امنیت سایبری از یک کمپین جدید خبر داده اند که وب سایت های وردپرس را هدف قرار می دهد و بدافزار خود را به شکل یک افزونه امنیتی پنهان می کند.

نام های دیگر افزونه مخرب

• addons.php
• wpconsole.php
• wp-performance-booster.php
• scr.php

نحوه عملکرد بدافزار

پس از نصب و فعال سازی، این افزونه به بازیگران تهدید دسترسی مدیر به داشبورد را می دهد و از REST API برای تسهیل اجرای کد از راه دور با تزریق کد PHP مخرب به فایل سربرگ قالب سایت یا پاک کردن حافظه پنهان افزونه های محبوب کش استفاده می کند.

یک نسخه جدید از این بدافزار شامل تغییرات قابل توجهی در نحوه مدیریت تزریق کد است و کد جاوا اسکریپت میزبانی شده در یک دامنه به خطر افتاده دیگر را برای نمایش تبلیغات یا اسپم دریافت می کند.

مکانیسم پایداری بدافزار

این افزونه همچنین با یک فایل مخرب wp-cron.php تکمیل می شود که در صورت حذف از فهرست افزونه ها، در بازدید بعدی سایت به طور خودکار بدافزار را بازسازی و فعال می کند.

منشاء و عاملان احتمالی حمله

در حال حاضر مشخص نیست که چگونه سایت ها برای تحویل این بدافزار به خطر افتاده اند یا چه کسی پشت این کمپین قرار دارد. با این حال، وجود نظرات و پیام های زبان روسی احتمالاً نشان می دهد که عاملان تهدید روسی زبان هستند.

سایر کمپین های مخرب در وردپرس

این افشاگری در حالی صورت می گیرد که Sucuri جزئیات یک کمپین وب اسکیمر را منتشر کرده است که از یک دامنه فونت جعلی به نام “italicfonts[.]org” برای نمایش یک فرم پرداخت جعلی در صفحات پرداخت، سرقت اطلاعات وارد شده و استخراج داده ها به سرور مهاجم استفاده می کند.

یک “حمله پیشرفته و چند مرحله ای کارتینگ” دیگر که توسط این شرکت امنیت وب سایت مورد بررسی قرار گرفته است، شامل هدف قرار دادن پورتال های تجارت الکترونیک Magento با بدافزار جاوا اسکریپت طراحی شده برای جمع آوری طیف گسترده ای از اطلاعات حساس است.

بن مارتین، محقق امنیتی، گفت: “این بدافزار از یک فایل تصویر GIF جعلی، داده های sessionStorage مرورگر محلی استفاده می کرد و با استفاده از یک سرور پراکسی معکوس مخرب، ترافیک وب سایت را دستکاری می کرد تا سرقت داده های کارت اعتباری، جزئیات ورود، کوکی ها و سایر داده های حساس از وب سایت به خطر افتاده را تسهیل کند.”

فایل GIF در واقع یک اسکریپت PHP است که با گرفتن درخواست های ورودی و استفاده از آن برای جمع آوری اطلاعات لازم هنگام ورود بازدید کننده سایت به صفحه پرداخت، به عنوان یک پراکسی معکوس عمل می کند.

سوء استفاده از Google AdSense

همچنین مشاهده شده است که مهاجمان کد Google AdSense را در حداقل 17 سایت وردپرس در مکان های مختلف با هدف ارائه تبلیغات ناخواسته و کسب درآمد به ازای هر کلیک یا هر نمایش تزریق می کنند.

پوجا سریواستاوا، محقق امنیتی، گفت: “آنها سعی می کنند از منابع سایت شما برای ادامه نمایش تبلیغات استفاده کنند و بدتر از آن، اگر خودتان از AdSense استفاده می کنید، ممکن است درآمد تبلیغاتی شما را بدزدند. با تزریق کد Google AdSense خود، آنها به جای شما پول دریافت می کنند.”

حملات فریبنده CAPTCHA

این تمام ماجرا نیست. تأییدهای CAPTCHA فریبنده که در وب سایت های به خطر افتاده ارائه می شوند، کاربران را فریب می دهند تا درهای پشتی مبتنی بر Node.js را دانلود و اجرا کنند. این درهای پشتی اطلاعات سیستم را جمع آوری می کنند، دسترسی از راه دور را فراهم می کنند و یک تروجان دسترسی از راه دور (RAT) مبتنی بر Node.js را مستقر می کنند که برای تونل زدن ترافیک مخرب از طریق پراکسی های SOCKS5 طراحی شده است.

این فعالیت توسط Trustwave SpiderLabs به یک سیستم توزیع ترافیک (TDS) به نام Kongtuke (همچنین با نام های 404 TDS، Chaya_002، LandUpdate808 و TAG-124 شناخته می شود) نسبت داده شده است.

ریگون جایاپول، محقق امنیتی، گفت: “اسکریپت JS که پس از آلودگی مستقر شد، به عنوان یک درب پشتی چند منظوره طراحی شده است که قادر به شناسایی دقیق سیستم، اجرای دستورات از راه دور، تونل زدن ترافیک شبکه (پراکسی SOCKS5) و حفظ دسترسی مخفیانه و پایدار است.”