هشدار: پنهان شدن بدافزار در سایت‌های معتبر وردپرس

در یک سال گذشته، بیش از ۱۷ هزار سایت وردپرس و ۱۰۶ هزار صفحه‌ی وب شناسایی شده، که همگی آلوده به بدافزار بوده‌اند.

در این حملات بدافزاری، کاربر ابتدا وارد یک سایت معتبر اما آلوده شده و پس از چند لحظه، به یک سایت جعلی و کلاهبرداری هدایت می‌شود.

یک نمونه از این سایت‌ها، مشابه سایت‌های کلاهبرداری واتساپی شرکت نفت و هواپیمایی ماهان بوده، که تصویر صفحه‌ای از آن، در اینجا قرار داده شده است.

برخی دامنه‌های مورد استفاده

amads[.]fun
techmarket[.]ink
uads[.]shop
5[.]188[.]62[.]157
uads[.]live
like-a-dating[.]top
techmarket[.]ink

هدایت کاربر به سایت‌های کلاهبرداری و جعلی، بواسطه‌ی بدافزاری صورت می‌گیرد که به فایل footer.php تزریق شده است.

این بدافزار شامل کد جاوااسکریپت مبهم‌سازی شده‌ای است، که پس از تعداد زیادی سطر خالی جهت پنهان کردن عملکرد مخرب خود، داخل کد فایل قرار گرفته است.

گفتنی است که برخی سایت‌های وردپرسی که کاملا به‌روزرسانی شده بودند نیز، مورد تهاجم این حمله قرار گرفته‌اند.
در واقع نفوذ مهاجم به این سایت‌ها، نه از طریق آسیب‌پذیری‌های موجود در افزونه‌ها و تم‌ها، که از طرق دیگری صورت گرفته است.

راه‌های نفوذ مهاجم برای تزریق footer.php

به‌نظر می‌رسد مهاجمان به سایت‌هایی نفوذ می‌کرده‌اند که حساب کاربری ادمین آنها پیشتر مورد حمله قرار گرفته بوده، یا آنکه با روش‌های Brute Force سعی کرده‌اند پسورد حساب کاربری ادمین را پیدا کنند. همچنین استفاده از اطلاعات نشت یافته‌ در خصوص شناسه و پسورد نیز، یکی از روش‌های محتمل به‌نظر می‌رسد.

توصیه‌های امنیتی

۱. دسترسی به محیط ادمین را محدود کنید.
۲. از احراز هویت چندعاملی استفاده کنید.
۳. از پسوردهای پیچیده استفاده کنید.
۴. تعداد ادمین‌های سایت را محدود کنید.

منبع: sucuri