Mobilné Správy, Gadgety, Blogy's Secenziami

Správcovia WordPress infikujú svoje stránky pomocou programu WP-VCD prostredníctvom pirátskych doplnkov

Správcovia WordPress infikujú svoje stránky pomocou programu WP-VCD prostredníctvom pirátskych doplnkov

Webové stránky WordPress boli terčom vysoko aktívnej škodlivej kampane, ktorá ich infikuje škodlivým softvérom nazývaným WP-VCD, ktorý sa skryje pred očami a rýchlo sa šíri na celú webovú stránku.

Skupina hackerov, ktorí za tým stoja, sa tiež ubezpečila, že ich škodlivé užitočné zaťaženie je tiež ťažké zbaviť sa, akonáhle sa mu podarí napadnúť stránku. Aby sa to ešte zhoršilo, malvér je tiež navrhnutý tak, aby prehľadával svoju cestu cez hostiteľský server a infikoval všetky ďalšie nájdené stránky WordPress.

WP-VCD je rozšírený o najaktívnejšia škodlivá kampaň, ktorá ovplyvňuje webové stránky WordPress od konca, s tímom spravodajských informácií o hrozbe Wordfence, ktorý sa na to bližšie pozrel a spájal „jednotlivé vzorky malwaru WP-VCD s vyššou mierou nových infekcií ako akýkoľvek iný malware typu WordPress od augusta 2019.“

Malvér je tiež „nainštalovaný na viac nových webových stránok za týždeň ako akýkoľvek iný malware v posledných mesiacoch“ a „kampaň nevykazuje žiadne známky spomalenia“.

To je dosť pozoruhodné, pretože malvér sa už viac ako dva roky koluje prvý verejne hlásený prípad infekcie WP-VCD až do februára 2017 a používatelia, ktorí nahlásia infekcie, a žiadajú o radu, ako sa ich zbaviť, na fóre podpory WordPress (1, 2, 3, 4, 5) a na rôznych iných miestach na internete. (1, 2, 3)

Distribučné weby WP-VCD vo výsledkoch vyhľadávania Google "height =" 277 "width =" 557 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / WP-VCD distribúcia stránky vo výsledkoch vyhľadávania Google.png "class =" b-lazy "/><strong>Distribučné weby WP-VCD vo výsledkoch vyhľadávania Google</strong> (Wordfence)</figure><h2>Pirátske doplnky a kompromitované stránky používané na distribúciu</h2><p>Zatiaľ čo aktéri hrozieb zvyčajne využívajú slabiny zabezpečenia CMS, ktoré majú dopad na platformu WordPress, aby infiltrovali webové stránky a injektovali škodlivý kód, v prípade WP-VCD sú správcovia webu tí, ktorí šíria infekciu na svoje webové stránky.</p><div class='code-block code-block-4' style='margin: 8px auto; text-align: center; display: block; clear: both;'><style>.ai-rotate {position: relative;}
.ai-rotate-hidden {visibility: hidden;}
.ai-rotate-hidden-2 {position: absolute; top: 0; left: 0; width: 100%; height: 100%;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback, .ai-list-block, .ai-list-block-ip, .ai-list-block-filter {visibility: hidden; position: absolute; width: 50%; height: 1px; top: -1000px; z-index: -9999; margin: 0px!important;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback {min-width: 1px;}</style><div class='ai-rotate ai-unprocessed ai-timed-rotation ai-4-2' data-info='WyI0LTIiLDJd' style='position: relative;'><div class='ai-rotate-option' style='visibility: hidden;' data-index=

Deje sa tak preto, že malware sa šíri pomocou pirátskych (tiež známych ako nulové) kópie tém WordPress a doplnkov, ktoré sú v súčasnosti distribuované prostredníctvom veľkej siete škodlivých stránok. Zvyčajne to bude v prvých výsledkoch vo výsledkoch vyhľadávania Google, ktoré posúvajú legitímne zdroje doplnkov WordPress o stránku nižšie.

Aby mohli operátori WP-VCD vybudovať takú efektívnu distribučnú platformu propagujúcu svoje škodlivé weby, používali rozsiahly vírusový marketing prostredníctvom SEO trikov s čiernym klobúkom, ako je spätný odkaz a vkladanie kľúčových slov na stránky, ktoré ohrozili.

Distribučné stránky WP-VCDDistribučné stránky WP-VCD (Wordfence)

„Táto funkcia poskytuje palivo pre vírusovú marketingovú slučku kampane. Majiteľ webu nájde nulledovanú tému z dôvodu vysokej viditeľnosti vyhľadávacieho nástroja a potom ju na svoj web nainštaluje,“ našiel Wordfence.

Ich distribučná sieť s vynulovaným obsahom používa sťahovanie ako freethemes (.) Ako centrálny server na sťahovanie, ktorý skupine umožňuje šíriť rovnakú verziu škodlivého softvéru cez všetky weby na doručovanie škodlivého softvéru.

Majitelia a správcovia stránok WordPress môžu veľmi ľahko zabrániť infekcii WP-VCD podľa Wordfence, ktorá im odporúča, aby neinštalovali nulové témy a doplnky. „Ak ste si najali vývojára na vytvorenie nového webu WordPress, uistite sa, že zodpovedne získavajú všetok svoj obsah.“

Wordfence tiež poskytuje sprievodca čistením stránok pre vlastníkov už infikovaných stránok a podrobný postup na stránkach ako zabezpečiť webové stránky WordPress zabrániť budúcim útokom.

Infekcia a speňaženie pomocou WP-VCD

„Malvér WP-VCD sa šíri na tomto webe a potenciálne viac, ak je prítomný v rovnakom hostiteľskom prostredí, a do všetkých z nich vkladá spätné odkazy. Tieto spätné odkazy vedú k ešte väčšej návštevnosti infikovaných nullovaných tém a cyklus pokračuje.“

Akonáhle je pirátska téma alebo doplnok aktivovaný na webe WordPress, malware spustí skript nasadenia, ktorý vloží zadné vrátenie do všetkých nainštalovaných súborov tém a vynuluje časové značky tak, aby sa zhodovali s hodnotami pred vstrekovacím procesom, aby sa zabránilo detekcii.

Backdoor „môže prijímať pokyny prostredníctvom prichádzajúcich aj odchádzajúcich žiadostí, čo sťažuje sledovanie jeho činnosti“ a operátorom umožňuje nasadiť škodlivý kód na všetky napadnuté stránky, aby „aktivovali nesprávne inzerovanie injekcií alebo podľa potreby upravili výsledky vyhľadávacieho nástroja pre svoje stránky, potom ho odstráňte z celej siete jednoducho odstránením kódu zo servera. “

Skupina WP-VCD využíva sieť infikovaných stránok WordPress na vírusový marketing, čo im umožňuje rýchlo zvyšovať príjmy z reklamy.

Ak sa tok peňazí pochádzajúci zo sifónového výnosu z reklamy vyschne, môžu veľmi ľahko zapnúť čierny klobúk so strojom SEO a vylepšiť svoje stránky na distribúciu škodlivého softvéru v službe Google SERP, aby presmerovali návštevnosť vyhľadávacieho nástroja, čo vedie k infikovaniu ďalších obetí.

Vkladanie zadných vrát do súboru témy "height =" 221 "width =" 759 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/November 2019 / Vkladanie zadných vrát do témy file.png "class =" b-lenivý "/><strong>Vkladanie zadných vrát do súboru témy </strong>(Wordfence)</figure><p>Skript na nasadenie škodlivého softvéru je tiež zodpovedný za telefonovanie späť domov na server príkazov a ovládacích prvkov (C2) a za odoslanie útočníkov na napadnutú adresu a pevne zadané heslo zadných vrát. Wordfence zistil viac ako sto domén WP-VCD C2 pri sledovaní najnovších infekcií.</p><div class='code-block code-block-8' style='margin: 8px auto; text-align: center; display: block; clear: both;'><style>.ai-rotate {position: relative;}
.ai-rotate-hidden {visibility: hidden;}
.ai-rotate-hidden-2 {position: absolute; top: 0; left: 0; width: 100%; height: 100%;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback, .ai-list-block, .ai-list-block-ip, .ai-list-block-filter {visibility: hidden; position: absolute; width: 50%; height: 1px; top: -1000px; z-index: -9999; margin: 0px!important;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback {min-width: 1px;}</style><div class='ai-rotate ai-unprocessed ai-timed-rotation ai-8-2' data-info='WyI4LTIiLDJd' style='position: relative;'><div class='ai-rotate-option' style='visibility: hidden;' data-index=

Akonáhle dôjde k úplnému ohrozeniu lokality, je nasaditeľ tiež poverený odstránením škodlivého kódu z vynulovaného doplnku alebo motívu nainštalovaného správcom webu.

„V zákulisí rozsiahla infraštruktúra velenia a riadenia (C2) a samoliečebné infekcie umožňujú útočníkom udržiavať na týchto infikovaných stránkach trvalé opory,“ zistil analytik hrozieb Wordfence Mikey Veenstra.

Ďalšie podrobnosti o vnútornom fungovaní tohto škodlivého softvéru a úplný zoznam ukazovateľov kompromitovaných (IOC) vrátane webov na distribúciu obsahu s nulovým obsahom, domén C2, domén SEO so značkou black hat a domén s reklamami na vrtule použitých v kampani sú k dispozícii na konci WP-VCD programu Wordfence: Škodlivý softvér, ktorý ste nainštalovali na svoju vlastnú stránku,