در پشتی در وبگاههای وردپرس و افشای اطلاعات حساس
این روزها مدیران وردپرس فرصت نفسکشیدن هم ندارند؛ سیل آسیبپذیریهای وردپرس، که اغلب آن متوجه افزونههای این سامانهی مدیریت محتوا هستند، منجر به نفوذ به شماری از وبگاههای تحت وردپرس شده، به نحوی که اطلاعات حساس این وبگاهها از طریق یک در پشتی به گروهی خلافکار ارسال میشود.
روز پنجشنبه پژوهشگران Zscaler بیان داشتند که کد این در پشتی که در وبگاهها جاسازی شده هنگام ورود اطلاعات محرمانه توسط کاربران فعال میشود.
اطلاعات محرمانه رمزگذاری شده و در قالب یک درخواست GET به وبگاه نفوذگر فرستاده میشود. Zscaler گفته که دامنهی فرماندهی و کنترل conyouse[.]com را که اطلاعات حساس به آنجا ارسال میشده کشف نموده است. محققان همچنین فهرستی از وبگاههای وردپرس را که مورد نفوذ قرار گرفتهاند، منتشر نموده است:
- shoneekapoor[.]com
- dwaynefrancis[.]com
- blissfields[.]co[.]uk
- avalineholding[.]com
- attherighttime[.]net
- bolsaemprego[.]ne
- capitaltrill[.]com
- blowdrybar[.]es
- espada[.]co[.]uk
- technograte[.]com
- socalhistory[.]org
- blissfields[.]co[.]uk
- glasgowcontemporarychoir[.]com
- sombornefp[.]co[.]uk
- reciclaconloscincosentidos[.]com
- testrmb[.]com
- digivelum[.]com
- laflordelys[.]com
هنگامی که کاربران از همهجا بیخبر تلاش میکنند به یکی از وبگاههای آسیبپذیر وردپرس وارد شوند، در صفحهی ورود به سامانه مورد حملات تزریق کد جاوااسکریپت قرار میگیرند. این کد مخرب جاوااسکریپت روی یک وبگاه C&C میزبانی میشود و در پروندهای به نام wp.js حضور دارد. فرم ورود به سامانه شامل یک جعبهی ورود شناسه و گذرواژه است که در وبگاههای مبتنی بر وردپرس دارای نام ثابت loginform میباشد. از روش رویداد preventDefault برای لغو رویداد ارسال مدخل loginform استفاده شده و کد جایگزینی اجرا میشود که در پروندهی مذکور وجود دارد. رشتهی اطلاعات محرمانهی ورودی در یک قالب Base۶۴ سریالسازی و رمزگذاری میشود.
Zscaler میگوید که تاکنون قادر به تشخیص ابعاد حملهی این کمپین نبوده است.
