کمیته رکن چهارم – کارشناسان امنیت سایبری از آلودگی هزاران سایت وردپرسی به بدافزاری مرموز خبر دادند.
محققان امنیت سایبری از Sucuri دریافتهاند که هزاران وبسایت وردپرس به یک بدافزار ناشناخته آلوده شدهاند.
این بدافزار بازدیدکنندگان را به وبسایت دیگری هدایت میکند، جایی که تبلیغات میزبانی شده در پلتفرم گوگل ادز (Google Ads) بارگیری میشوند و برای صاحبان وبسایت سود به همراه میآورند.
تیم Sucuri متوجه شد که یک عامل تهدید ناشناخته توانسته است تقریباً یازدههزار وب سایت وردپرس را در معرض خطر قرار دهد.
وردپرس محبوب ترین پلتفرم میزبانی وب در جهان است و به طور کلی امن تلقی میشود. با این حال، وردپرس افزونههای بیشماری را نیز ارائه میکند که برخی از آنها دارای آسیبپذیریهای شدید هستند.
در حالی که محققان نتوانستند آسیبپذیری دقیق مورد استفاده برای ارائه این بدافزار را شناسایی کنند، آنها حدس میزنند که عوامل تهدید این فرآیند را خودکار کرده و احتمالاً از هر نقص شناخته شده و اصلاحنشدهای که میتوانستند استفاده کنند.
روش کار بدافزار ساده است: وقتی افراد از وبسایتهای آلوده بازدید میکنند، به وبسایت پرسش و پاسخ دیگری هدایت میشوند که آگهیهای موجود در گوگل ادز را دانلود میکند. به این ترتیب، گوگل اساسا فریب میخورد تا به صاحبان کمپین تبلیغاتی برای بازدیدها پول بپردازد، غافل از اینکه بازدیدها واقعاً تقلبی هستند.
Sucuri ماههاست که کمپینهای مشابه را دنبال میکند. در اواخر نوامبر سال گذشته، محققان این تیم کمپین مشابهی را مشاهده کردند که تقریباً پانزدههزار سایت وردپرس را آلوده کرد. تفاوت بین این دو کمپین در این است که در کمپین سال گذشته – مهاجمان زحمتی برای پنهان کردن بدافزار نداشتند. در واقع، آنها دقیقا برعکس عمل کردند و بیش از یکصد فایل مخرب را در هر وبسایت نصب کردند.
به گفته محققان، با این حال، در کمپین جدید، مهاجمان تمام تلاش خود را برای پنهان کردن وجود بدافزار انجام دادند. آنها همچنین بدافزار را نسبت به اقدامات متقابل انعطافپذیرتر کردند و برای مدت طولانیتری در سایتها ماندگار شدند.
به گفته محققان، برای محافظت در برابر چنین حملاتی، بهتر است وبسایت و همه افزونهها را بهروز نگه دارید و پنل ادمین وردپرس را با یک رمز عبور قوی و احراز هویت چند عاملی ایمن نگه دارید. کسانی که قبلاً آلوده شدهاند، میتوانند از راهنمای Sucuri پیروی کنند؛ به این صورت که باید همه رمزهای عبور نقطه دسترسی را تغییر دهند و وبسایت را پشت یک فایروال قرار دهند.
منبع: افتانا