آلودگی هزاران سایت وردپرسی به بدافزاری مرموز

کارشناسان امنیت سایبری از آلودگی هزاران سایت وردپرسی به بدافزاری مرموز خبر دادند.

به نقل از Techradar، محققان امنیت سایبری از Sucuri دریافته‌اند که هزاران وب‌سایت وردپرس به یک بدافزار ناشناخته آلوده شده‌اند.

این بدافزار بازدیدکنندگان را به وب‌سایت دیگری هدایت می‌کند، جایی که تبلیغات میزبانی شده در پلتفرم Google Ads بارگیری می‌شوند و برای صاحبان وب‌سایت سود به همراه می‌آورند.

تیم Sucuri متوجه شد که یک عامل تهدید ناشناخته توانسته است تقریباً یازده‌هزار وب سایت وردپرس را در معرض خطر قرار دهد.

وردپرس محبوب ترین پلتفرم میزبانی وب در جهان است و به طور کلی امن تلقی می‌شود. با این حال، وردپرس افزونه‌های بی‌شماری را نیز ارائه می‌کند که برخی از آن‌ها دارای آسیب‌پذیری‌های شدید هستند.

در حالی که محققان نتوانستند آسیب‌پذیری دقیق مورد استفاده برای ارائه این بدافزار را شناسایی کنند، آن‌ها حدس می‌زنند که عوامل تهدید، این فرآیند را خودکار کرده و احتمالاً از هر نقص شناخته شده و اصلاح‌نشده‌ای که می‌توانستند استفاده می کنند.

روش کار بدافزار ساده است: وقتی افراد از وب‌سایت‌های آلوده بازدید می‌کنند، به وب‌سایت پرسش و پاسخ دیگری هدایت می‌شوند که آگهی‌های موجود در Google Ads را دانلود می‌کند. به این ترتیب، Google اساساً فریب می‌خورد تا به صاحبان کمپین تبلیغاتی برای بازدیدها پول بپردازد، غافل از اینکه بازدیدها واقعاً تقلبی هستند.

Sucuri ماه‌هاست که کمپین‌های مشابه را دنبال می‌کند. در اواخر نوامبر سال گذشته، محققان این تیم کمپین مشابهی را مشاهده کردند که تقریباً پانزده‌هزار سایت وردپرس را آلوده کرد. تفاوت بین این دو کمپین در این است که در کمپین سال گذشته، مهاجمان زحمتی برای پنهان کردن بدافزار نداشتند. در واقع، آن‌ها دقیقاً برعکس عمل کردند و بیش از یک‌صد فایل مخرب را در هر وب‌سایت نصب کردند.

به گفته محققان، با این حال، در کمپین جدید، مهاجمان تمام تلاش خود را برای پنهان کردن وجود بدافزار انجام دادند. آن‌ها همچنین بدافزار را نسبت به اقدامات متقابل انعطاف‌پذیرتر کردند و برای مدت طولانی‌تری در سایت‌ها ماندگار شدند.

به گفته محققان، برای محافظت در برابر چنین حملاتی، بهتر است وب‌سایت و همه افزونه‌ها را به‌روز نگه دارید و پنل ادمین وردپرس را با یک رمز عبور قوی و احراز هویت چند عاملی ایمن نگه دارید. کسانی که قبلاً آلوده شده‌اند، می‌توانند از راهنمای Sucuri پیروی کنند؛ به این صورت که باید همه رمزهای عبور نقطه دسترسی را تغییر دهند و وب‌سایت را پشت یک فایروال قرار دهند.

منبع:

https://www.techradar.com/news/thousands-of-wordpress-sites-have-been-infected-by-a-mystery-malware