کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

به‌تازگی مجرمان سایبری، سایت‌ها وردپرسی که نسخه‌های قدیمی‌تر محبوب‌ترین CMSهای جهان را دارند را، هدف خود قرار داده‌اند. هدف آن‌ها از این‌ اقدام، اجرای تبلیغات مخرب Phishing برای کسب درآمد است.

اولین بار در دسامبر گذشته، محققان امنیتی در Cybernews در طی عملیاتی با اسکنی معمولی موفق شدند تا روش حمله‌‌ی جدید مجرمان سایبری را شناسایی کنند. با این حال، یافته‌های آن‌ها منجر به کشف طرحی پول‌سازی و غیرقانونی شد که جهت به‌خطر انداختن صدها سایت و یا نسخه‌های قدیمی وردپرس و یا سایت‌هایی که پلاگین‌های امنیتی مناسب وردپرس را نصب نکرده‌اند، استفاده می‌شود.

به منظور انجام این امر، مجرمان سایبری که مسئول هستند، در ابتدا وب‌سایت‌های آسیب‌پذیر را با استفاده سوءاستفاده و یا حملاتی که اعتبار را مورد حمله قرار می‌دهد، به آن‌ها نفوذ کردند. سپس با تزریق اسکریپت PHP، به نصب‌های وردپرس سایت‌هایی که مورد نظرشان بود، آن‌ها توانستند تا آن موارد را به نقاط فرمان و کنترل خود تبدیل کنند تا هنگامی که اسکریپت‌های فاز دوم فعال می‌شوند و یا هنگامی که آن‌ها توسط پیوند دیگری باز می‌‌شوند،‌ تبلیغات مخرب ارائه داده شوند. در کمال تعجب، همه‌ی اسکریپت‌های مخرب PHP که یافت شده بودند، توسط Cybernews به‌عنوان افزونه‌های قانونی وردپرس ظاهر می‌شدند.

وینسنتاس باوبونیس از سایبرنیوز در گزارشی که به‌تازگی منتشر شده است توضیح داد که چگونه قطعه‌ای کد جاوا اسکریپت، محققان امنیتی را به بررسی بیش‌‌تر آن سوق داده است:

این قطعه‌ی خاص از کد جاوا اسکریپت، به دلیل ابهام شدید و شرایط عجیب و غریبی که در آن استقرار پیدا کرده بود، منجر شد تا توجه تیم را به خود جلب کند. کد مبهم، تکنیکی است که توسعه‌دهندگان قانونی و مجرمان تهدیدکننده، برای جلوگیری از مهندسی معکوس از آن استفاده می‌کنند. در این مورد، جهت معکوس کردن بارِ واقعی، از پنهان کردن کدهای مخرب استفاده شده است.

هدف قرار دادنِ سایت‌های قدیمی وردپرس

پس از این‌که اسکریپت‌ها مخرب PHP، که شبیه پلاگین‌ها قانونی به‌نظر می‌رسند، حملات پیش‌فرض علیه نسخه‌های قدیمی‌تر سایت‌ها وردپرس جهت درج منابع در HTML آن‌ها انجام شده است که منجر به ایجاد نقاط فرمان و کنترل شدن هک‌های قبلی می‌شد.

طبق گزارشی که از سایبرنیوز به‌دست آمده است، فاز اول تکرار‌های این حمله، چهار سایت را در معرض خطر قرار داده است که برای میزبانی از اسکریپت‌های فرمان‌دهنده و کنترل‌کننده، مورد استفاده قرار گرفته است. این درحالی است که مرحله‌ی دو آن، بیش‌‌تر سایت‌هایی هدف قرار داده شده‌اند که از نسخه‌های قدیمی‌تر وردپرس از 3.5.1 تا 4.9.1 اجرا شده‌اند.

تیم تحقیقاتی این نشری، حداقل 560 سایت وردپرسی که در معرض خطر هستند را پیدا کرده است. از این تعداد حداقل 382 سایت مجبور به اجرای کدهای مخرب شده‌اند. خوش‌بختانه، در نتیجه اشتباهات و یا اقدامات امنیتی که داخل وردپرس پیش آمده‌اند، همه‌ی سایت‌هایی که آسیب‌ دیده‌اند، نتوانسته‌اند برای مجرمان سایبری که مسئول هستند، کسب درآمد کنند.

علاوه‌بر این، به‌نظر می‌رسد از هر ده سایت وردپرس، تنها هفت سایت به‌ دلالیل فنی و یا احتمالاََ امنیت داخل، تبلیغات مخرب را از خود ارائه می‌دهند که مجنر به جلوگیری از اجرای کدهای در مکان‌هایی می‌شود که نباید اجرا شوند.

هنگامی‌که نوبت به کشورهایی که بیش‌ترین سایت‌ها را هدف قرار داده‌اند، می‌رسد، ایالات متحده 201 وب‌سایت که در معرض خطر بوده‌اند را داشت و پس از آن فرانسه 62 سایت، آلمان 51 سایتت و بریتانیا 34 سایت داشته است. در مورد ارائه‌دهندگان میزبان وب، بدترین ضربه را GoDaddy با 42 وب‌سایت داشته و در جایگاه برتر قرار گرفت. پس از آن نیز، WebsiteWelcome با 30 وب‌سایت و OVH ISP با 27 وب‌سایت قرار گرفته‌اند.

هنگامی که داده‌ها توسط ISP نمایان شد، OVH SAS با 55 وب‌سایت هک شده با Unified Layer در رتبه‌ی دوم با 53 وب‌سایت و GoDaddy با 43 وب‌سایت در رتبه‌‌ی سوم قرار گرفتند.

آخرین گزارشی که از سایبرنیوز به‌دست آمده است، یادآوری می‌کند که بهتر است همواره  وردپرس خود را به‌روز نگه‌دارید. اگر به‌روزرسانی‌های سایت وردپرس، کاری است که اکثر مواقع آن را فراموش می‌کنید،‌ می‌توانید برای وردپرسی مدیریت‌شده ثبت نام کنید تا نیازی به این‌که همه‌ی کارهای خود را به تنهایی انجام دهید، نداشته باشید.