کمیته رکن چهارم – بیش از ۲۰۰۰ وبگاه وردپرس با یک اسکریپت مخرب آلوده شدهاند که این اسکریپت میتواند هم کیلاگر و هم استخراجکنندهی ارز مجازی CoinHive را انتقال دهد.
پژوهشگران Sucuri که این کشف را انجام دادند، گفتند که این پویش اخیر به عاملان یک پویش در ماه دسامبر سال ۲۰۱۷ میلادی مربوط است که بیش از ۵۵۰۰ وبگاه وردپرس را آلوده کرد. هر دو حادثه از یک بدافزار کیلاگر/ارز مجازی به نام cloudflare[.]solutions استفاده کردهاند. این نام از دامنهی استفاده شده برای به کارگیری اسکریپتهای مخرب در پویش اول برگرفته شده است. cloudflare[.]solutions به هیچ وجه به شرکت مدیریت شبکه و امنیت Cloudflare مربوط نیست.
پژوهشگر ارشد بدافزار در Sucuri، دِنیس سینگوبکو در هفتهی جاری در پست وبلاگی خود نوشت: «با اینکه به نظر نمیرسد حملات جدید به گستردگی پویش اصلی cloudflare[.]solutions باشند، اما نرخ آلودهسازی مجدد نشان میدهد که هنوز سایتهای بسیاری وجود دارند که پس از آلودگی اصلی موفق به محافظت از خود نشدهاند.»
از ماه دسامبر، دامنهی cloudflare[.]solutions از کار افتاده است. اما اکنون عاملان تهدیدی که پشت این پویش اصلی هستند دامنههای جدیدی را ثبت کردهاند تا اسکریپتهای مخربی را که در وبگاههای وردپرس بارگذاری شدهاند، میزبانی کنند.
سینگوبکو نوشت: «مهاجمان در وبگاههای وردپرس با امنیت ضغیف یا قدیمی، از اسکریپتهای تزریق استفاده میکنند. اسکریپت cdjs[.]online یا در یک پایگاه دادهی وردپرس و یا در پروندهی functions.php قالبها تزریق میشود.»
مهاجمان، صفحهی ورود مدیر و صفحهی عمومی سمت کاربر را هدف قرار میدهند. HTML مبهمسازی شده است تا کدهای جاوا اسکریپتی مانند googleanalytics.js را که اسکریپتهای مخرب start GoogleAnalytics را از دامنههای مهاجم بارگیری میکند، در برگیرد.
سینگوبکو نوشت: «ما متوجه شدیم که کتابخانهی jquery-۳.۲.۱.min.js شبیه نسخهی قبلی کتابخانهی رمزنگاریشدهی CoinHive است.»
شرکت Sucuri گزارش میدهد که، بر اساس نتایج موتور جستجوی کد منبع PublicWWW، تعداد وبگاههای آلوده شامل ۱۲۹ وبگاه از دامنهی cdns[.]ws و ۱۰۳ وبگاه از دامنهی cdjs[.]omline است. بخش عمدهای از دامنههای آلوده به msdns[.]online مربوط هستند، که بیش از هزار مورد آلودگی در آنها گزارش شده است. پژوهشگران گفتند که بسیاری از وبگاههای وردپرس دوباره آلوده شدهاند، و اکنون دامنههای جدید فعال هستند.
شرکت Sucuri با فعالیتهای خاص اسکریپتهای مخرب وردپرس غریبه نیست. و پژوهشگران، پویشهای قبلی از جمله پویشهای مربوط به ماه دسامبر و نوامبر و آوریل سال ۲۰۱۷ میلادی را که از دامنهی cloudflare[.]solutions استفاده کرده بودند، شناسایی کردهاند.
منبع : news.asis.io
