10 000 stron na WordPressie zhakowanych, aby rozprzestrzeniać złośliwe oprogramowanie

Ponad 10 000 stron internetowych WordPress zostało zhackowanych w celu dystrybucji szkodliwego oprogramowania skierowanego zarówno do użytkowników systemów Windows, jak i macOS, jak ujawnili w tym tygodniu badacze bezpieczeństwa z c/side.

Napastnicy wstrzyknęli szkodliwy JavaScript do przestarzałych stron WordPress, nakłaniając odwiedzających do pobierania fałszywych aktualizacji przeglądarki, które instalują szkodliwe oprogramowanie.

Cyberprzestępcy za tą kampanią wstrzyknęli złośliwy JavaScript do podatnych stron WordPress. Gdy odwiedzający trafia na zainfekowaną stronę, jego przeglądarka ładuje fałszywe powiadomienie o aktualizacji w niewidocznej ramce. Jeżeli użytkownik pobierze i zainstaluje rzekomą aktualizację, nieświadomie zainfekuje swoje urządzenie złośliwym oprogramowaniem.

Ta metoda oznacza zmianę w stosunku do poprzednich taktyk, ponieważ jest to pierwszy znany przypadek dostarczania AMOS i SocGholish za pomocą ataku po stronie klienta. Zamiast przekierowywać użytkowników do oddzielnej złośliwej strony, złośliwe oprogramowanie jest wstrzykiwane bezpośrednio do ich sesji przeglądarki.

Oprogramowanie szkodliwe AMOS jest zaprojektowane do kradzieży wrażliwych danych od użytkowników Mac, w tym haseł, informacji o kartach kredytowych oraz portfeli kryptowalut. Jest sprzedawane na forach hakerów i kanałach Telegram, co sprawia, że jest łatwo dostępne dla cyberprzestępców.

SocGholish, który atakuje użytkowników Windows, często jest używany do instalowania dodatkowego oprogramowania szkodliwego, takiego jak ransomware czy keyloggery, podszywając się pod prawidłową aktualizację oprogramowania.

Hakerzy prawdopodobnie uzyskali dostęp do tych stron WordPress, wykorzystując przestarzałe wtyczki i motywy. Ponieważ wiele stron internetowych nie ma aktywnego monitoringu ataków po stronie klienta, złośliwe skrypty pozostały niewykryte przez dłuższy okres.

Eksperci ds. bezpieczeństwa zidentyfikowali kilka podejrzanych domen zaangażowanych w atak, w tym **blackshelter[.]org** i **blacksaltys[.]com**, które przekierowywały użytkowników do stron hostingujących złośliwe oprogramowanie. Złośliwy skrypt został również znaleziony na powszechnie używanej sieci dostarczania treści, co utrudniało jego wykrycie.

Dla zapewnienia bezpieczeństwa, właściciele stron internetowych są zachęcani do aktualizacji swoich instalacji WordPress oraz wtyczek, sprawdzania niecodziennych skryptów i usuwania wszelkich podejrzanych plików. Użytkownicy, którzy mogli pobrać pliki z zainfekowanych stron, powinni przeprowadzić pełne skanowanie systemu i sprawdzić swoje urządzenia pod kątem malware.

Kampania podkreśla rosnące zagrożenia ze strony cyberprzestępców wykorzystujących podatności stron internetowych do zarażania użytkowników złośliwym oprogramowaniem. Badacze bezpieczeństwa nadal monitorują atak i ostrzegają, że więcej skompromitowanych stron internetowych może nadal rozprzestrzeniać infekcję.