Veliki broj WordPress web sajtova je u protekle dve nedelje bio ugrožen malware kampanjom uočenom in the wild. WordPress, Free i Open Source sistem za upravljanje sadržajem (CMS) i bloging alatka, ponovo se našao na meti hakera. Istraživači u Sucuri Labs otkrili su “Malware kampanju” koja ima za cilj da pristupi što većem broju uređaja tako što kao žrtvu koristi nebrojeno mnogo WordPress web sajtova. Malware kampanja je bila aktivna više od dve nedelje, ali je u protekla dva dana doživela ogroman pomak u širenju infekcije, koja je pogodila više od 5000 WordPress web sajtova. Istraživači bezbednosti nazivaju ovaj malware napad “VisitorTracker” jer postoji javascript funkcija zvana visitorTracker_isMob()
u malicioznom kodu koji su dizajnirali sajber kriminalci.
Izgleda da ova nova kampanja koristi Nuclear Exploit Kit, kao i kombinaciju hakovanih WordPress sajtova, skrivenih iframe-ova i određenog broja poznatih i nepoznatih Browser exploit-ova. Ako bismo, pak, sudili po nazivu malware-a, cilj im je da prate svakog posetioca koji pristupi žrtvovanom WordPress sajtu i da ih potom preusmere na specijalno izrađenu stranicu gde je ugrađen Nuclear Exploit Kit.
Dakle, plan delanja je sledeći:
Ubacivanje malware koda u sve JavaScript fajlove na ugroženom WordPress web sajtu. Kada naslute posetioca, usmeruju ga na exploit landing page putem iFrame-a. Landing page gura exploit-ove zasnovane na browser-u u sistem žrtve kako bi dobila pristup.
Exploit kit koji je ovde korišćen vrši napade koristeći ranjivosti u plugin-ovima sa ciljem krađe podataka. Tim Sucuri istraživača predložio je sledeće rešenje: Infekcija je veoma raširena i uklonila je mnogo single quote-ova iz legitimnih fajlova koji u potpunosti ugrožavaju sajt. Pogađa plugin-ove, teme, čak i core fajlove WordPress-a i Joomla-e. Rešenje je povratiti fajlove iz backup-a.
Štaviše, možete i proveriti da li ste pogođeni napadom ukoliko pratite komandu ispod:
grep -r “visitorTracker_isMob” /var/www/
Zaključak
Update-ujte plugin-ove sa ugrađenim najnovijim sigurnosnim zakrpama. Uvek čuvajte backup osetljivih podataka.