بهتازگی مجرمان سایبری، سایتها وردپرسی که نسخههای قدیمیتر محبوبترین CMSهای جهان را دارند را، هدف خود قرار دادهاند. هدف آنها از این اقدام، اجرای تبلیغات مخرب Phishing برای کسب درآمد است.
اولین بار در دسامبر گذشته، محققان امنیتی در Cybernews در طی عملیاتی با اسکنی معمولی موفق شدند تا روش حملهی جدید مجرمان سایبری را شناسایی کنند. با این حال، یافتههای آنها منجر به کشف طرحی پولسازی و غیرقانونی شد که جهت بهخطر انداختن صدها سایت و یا نسخههای قدیمی وردپرس و یا سایتهایی که پلاگینهای امنیتی مناسب وردپرس را نصب نکردهاند، استفاده میشود.
به منظور انجام این امر، مجرمان سایبری که مسئول هستند، در ابتدا وبسایتهای آسیبپذیر را با استفاده سوءاستفاده و یا حملاتی که اعتبار را مورد حمله قرار میدهد، به آنها نفوذ کردند. سپس با تزریق اسکریپت PHP، به نصبهای وردپرس سایتهایی که مورد نظرشان بود، آنها توانستند تا آن موارد را به نقاط فرمان و کنترل خود تبدیل کنند تا هنگامی که اسکریپتهای فاز دوم فعال میشوند و یا هنگامی که آنها توسط پیوند دیگری باز میشوند، تبلیغات مخرب ارائه داده شوند. در کمال تعجب، همهی اسکریپتهای مخرب PHP که یافت شده بودند، توسط Cybernews بهعنوان افزونههای قانونی وردپرس ظاهر میشدند.
وینسنتاس باوبونیس از سایبرنیوز در گزارشی که بهتازگی منتشر شده است توضیح داد که چگونه قطعهای کد جاوا اسکریپت، محققان امنیتی را به بررسی بیشتر آن سوق داده است:
این قطعهی خاص از کد جاوا اسکریپت، به دلیل ابهام شدید و شرایط عجیب و غریبی که در آن استقرار پیدا کرده بود، منجر شد تا توجه تیم را به خود جلب کند. کد مبهم، تکنیکی است که توسعهدهندگان قانونی و مجرمان تهدیدکننده، برای جلوگیری از مهندسی معکوس از آن استفاده میکنند. در این مورد، جهت معکوس کردن بارِ واقعی، از پنهان کردن کدهای مخرب استفاده شده است.
پس از اینکه اسکریپتها مخرب PHP، که شبیه پلاگینها قانونی بهنظر میرسند، حملات پیشفرض علیه نسخههای قدیمیتر سایتها وردپرس جهت درج منابع در HTML آنها انجام شده است که منجر به ایجاد نقاط فرمان و کنترل شدن هکهای قبلی میشد.
طبق گزارشی که از سایبرنیوز بهدست آمده است، فاز اول تکرارهای این حمله، چهار سایت را در معرض خطر قرار داده است که برای میزبانی از اسکریپتهای فرماندهنده و کنترلکننده، مورد استفاده قرار گرفته است. این درحالی است که مرحلهی دو آن، بیشتر سایتهایی هدف قرار داده شدهاند که از نسخههای قدیمیتر وردپرس از 3.5.1 تا 4.9.1 اجرا شدهاند.
تیم تحقیقاتی این نشری، حداقل 560 سایت وردپرسی که در معرض خطر هستند را پیدا کرده است. از این تعداد حداقل 382 سایت مجبور به اجرای کدهای مخرب شدهاند. خوشبختانه، در نتیجه اشتباهات و یا اقدامات امنیتی که داخل وردپرس پیش آمدهاند، همهی سایتهایی که آسیب دیدهاند، نتوانستهاند برای مجرمان سایبری که مسئول هستند، کسب درآمد کنند.
علاوهبر این، بهنظر میرسد از هر ده سایت وردپرس، تنها هفت سایت به دلالیل فنی و یا احتمالاََ امنیت داخل، تبلیغات مخرب را از خود ارائه میدهند که مجنر به جلوگیری از اجرای کدهای در مکانهایی میشود که نباید اجرا شوند.
هنگامیکه نوبت به کشورهایی که بیشترین سایتها را هدف قرار دادهاند، میرسد، ایالات متحده 201 وبسایت که در معرض خطر بودهاند را داشت و پس از آن فرانسه 62 سایت، آلمان 51 سایتت و بریتانیا 34 سایت داشته است. در مورد ارائهدهندگان میزبان وب، بدترین ضربه را GoDaddy با 42 وبسایت داشته و در جایگاه برتر قرار گرفت. پس از آن نیز، WebsiteWelcome با 30 وبسایت و OVH ISP با 27 وبسایت قرار گرفتهاند.
هنگامی که دادهها توسط ISP نمایان شد، OVH SAS با 55 وبسایت هک شده با Unified Layer در رتبهی دوم با 53 وبسایت و GoDaddy با 43 وبسایت در رتبهی سوم قرار گرفتند.
آخرین گزارشی که از سایبرنیوز بهدست آمده است، یادآوری میکند که بهتر است همواره وردپرس خود را بهروز نگهدارید. اگر بهروزرسانیهای سایت وردپرس، کاری است که اکثر مواقع آن را فراموش میکنید، میتوانید برای وردپرسی مدیریتشده ثبت نام کنید تا نیازی به اینکه همهی کارهای خود را به تنهایی انجام دهید، نداشته باشید.