کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک کارزار گسترده بدافزاری خبر دادهاند که در آن نزدیک به دو هزار وبسایت وردپرسی آلوده شدهاند و مهاجمان از بخش نظرات پروفایلهای Steam Community برای مخفیسازی اطلاعات فرماندهی و کنترل بدافزار استفاده میکنند.
به گزارش کمیته رکن چهارم، مهندسان امنیتی شرکت GoDaddy اعلام کردهاند از زمان کشف این عملیات در تیر ۱۴۰۴ تاکنون آلودگی حدود یک هزار و ۹۸۰ وبسایت وردپرسی را شناسایی کردهاند. در این روش، مهاجمان از کاراکترهای نامرئی یونیکد برای پنهان کردن دادههای مخرب در میان متنهای ظاهراً عادی استفاده میکنند تا آدرسهای مورد نیاز برای دریافت کدهای آلوده را مخفی نگه دارند.
بررسیها نشان میدهد بدافزار پس از قرار گرفتن روی وبسایت قربانی، هنگام بارگذاری صفحات به پروفایلهای مشخصی در سرویس Steam Community متصل میشود و محتوای بخش نظرات را استخراج میکند. اگرچه این نظرات در ظاهر کاملاً عادی به نظر میرسند، اما درون آنها مجموعهای از کاراکترهای نامرئی وجود دارد که دادههای مخفی را حمل میکنند. در برخی موارد نیز این اطلاعات در میان طرحهای متنی و اشکال گرافیکی ساده پنهان شدهاند.
پژوهشگران میگویند بدافزار با حذف تمام کاراکترهای قابل مشاهده و استخراج کاراکترهای نامرئی، دادههای رمزگذاریشده را بازسازی میکند. سپس این اطلاعات برای تولید یک آدرس اینترنتی مخرب مورد استفاده قرار میگیرند که از آن طریق کدهای جاوااسکریپت آلوده دریافت و روی وبسایت قربانی بارگذاری میشوند.
کدهای مخرب دریافتشده با نامهایی مشابه کتابخانههای معتبر جاوااسکریپت ذخیره میشوند تا جلب توجه نکنند. این کدها در صفحات وبسایت تزریق شده و در نهایت یک درِ پشتی روی سرور ایجاد میکنند که امکان اجرای دستورات دلخواه را برای مهاجمان فراهم میسازد.
به گفته پژوهشگران، این درِ پشتی میتواند درخواستهای ویژه را دریافت کرده و کدهای PHP ارسالشده از سوی مهاجم را اجرا کند. همین موضوع به مهاجمان اجازه میدهد حتی پس از حذف بخشی از بدافزار، دوباره کنترل وبسایت را به دست بگیرند و آلودگی را بازگردانند.
در این کارزار از چندین روش فرار از شناسایی نیز استفاده شده است. از جمله این روشها میتوان به مبهمسازی کدها، استفاده از نامهای تصادفی برای توابع، بهرهگیری از قابلیتهای عادی وردپرس برای پنهانسازی فعالیتها و غیرفعال کردن برخی فرآیندهای ثبت رویداد اشاره کرد.
هنوز مشخص نیست مهاجمان از چه روشی برای نفوذ اولیه به وبسایتها استفاده کردهاند، اما پژوهشگران احتمال میدهند سرقت اطلاعات ورود مدیران، افشای اعتبارنامههای FTP، سوءاستفاده از افزونهها و قالبهای آسیبپذیر وردپرس یا حملات زنجیره تأمین در این آلودگی نقش داشته باشند.
کارشناسان امنیتی به مدیران وبسایتها توصیه کردهاند در صورت مشاهده نشانههای آلودگی، ابتدا وبسایت را از نسخه پشتیبان سالم بازیابی کنند. همچنین بررسی ارتباطات مشکوک با Steam Community، وجود کدهای جاوااسکریپت ناشناس، فایلهای حاوی کاراکترهای نامرئی و درخواستهای غیرعادی در سرور میتواند به شناسایی آلودگی کمک کند.
پژوهشگران هشدار دادهاند که باقی ماندن حتی بخشی از بدافزار روی سرور میتواند امکان بازگشت کامل آلودگی را فراهم کند و به همین دلیل پاکسازی سامانه باید با دقت و بهصورت کامل انجام شود.
منبع: BleepingComputer
