Witryny WordPress padają ofiarą ataków hakerskich, w których instalowane są złośliwe wtyczki wyświetlające fałszywe aktualizacje oprogramowania i błędy, w celu rozpowszechniania złośliwego oprogramowania kradnącego informacje.
W ciągu ostatnich kilku lat złośliwe oprogramowanie kradnące informacje stało się plagą dla osób zajmujących się bezpieczeństwem na całym świecie, ponieważ skradzione dane uwierzytelniające są wykorzystywane do włamywania się do sieci i kradzieży danych.
Od 2023 r. prowadzona jest złośliwa kampania o nazwie ClearFake, polegająca na wyświetlaniu na zainfekowanych stronach internetowych fałszywych banerów informujących o aktualizacji przeglądarki internetowej . Banery te rozpowszechniają złośliwe oprogramowanie kradnące informacje.
W 2024 r. wprowadzono nową kampanię o nazwie ClickFix, która ma wiele podobieństw do ClearFake, ale zamiast tego udaje komunikaty o błędach oprogramowania z dołączonymi poprawkami. Jednak te „poprawki” to skrypty programu PowerShell, które po uruchomieniu pobierają i instalują złośliwe oprogramowanie kradnące informacje.
Kampanie ClickFix stały się w tym roku coraz powszechniejsze. Aktorzy zagrożeń włamują się na strony internetowe, aby wyświetlać banery z fałszywymi błędami dotyczącymi przeglądarki Google Chrome, konferencji Google Meet, Facebooka, a nawet stron z captcha.
Złośliwe wtyczki WordPress
W zeszłym tygodniu firma GoDaddy poinformowała , że cyberprzestępcy ClearFake/ClickFix włamali się na ponad 6000 witryn WordPress i zainstalowali złośliwe wtyczki wyświetlające fałszywe alerty związane z tymi kampaniami.
„Zespół ds. bezpieczeństwa GoDaddy śledzi nową odmianę złośliwego oprogramowania ClickFix (znanego również jako ClearFake), rozpowszechniającego fałszywe aktualizacje przeglądarki za pośrednictwem fałszywych wtyczek WordPress” — wyjaśnia Denis Sinegubko, badacz ds. bezpieczeństwa w GoDaddy .
„Te pozornie legalne wtyczki są zaprojektowane tak, aby administratorzy witryn uważali je za nieszkodliwe, ale zawierają osadzone złośliwe skrypty, które wyświetlają użytkownikom końcowym fałszywe monity o aktualizację przeglądarki”
Złośliwe wtyczki wykorzystują nazwy podobne do nazw legalnych wtyczek, takich jak Wordfense Security i LiteSpeed Cache, podczas gdy inne stosują ogólne, wymyślone nazwy.
Lista złośliwych wtyczek zaobserwowanych w tej kampanii w okresie od czerwca do września 2024 r. obejmuje:
- LiteSpeed Cache Classic
- Custom CSS Injector
- MonsterInsights Classic
- Custom Footer Generator
- Wordfence Security Classic
- Custom Login Styler
- Search Rank Enhancer
- Dynamic Sidebar Manager
- SEO Booster Pro
- Easy Themes Manager
- Google SEO Enhancer
- Form Builder Pro
- Rank Booster Pro
- Quick Cache Cleaner
- Admin Bar Customizer
- Responsive Menu Builder
- Advanced User Manager
- SEO Optimizer Pro
- Advanced Widget Manage
- Simple Post Enhancer
- Content Blocker
- Social Media Integrator
Firma zajmująca się bezpieczeństwem stron internetowych Sucuri zauważyła również, że częścią tej kampanii jest fałszywa wtyczka o nazwie „Universal Popup Plugin”.
Po zainstalowaniu złośliwa wtyczka, w zależności od wariantu, podejmie różne działania WordPressa, aby wstrzyknąć złośliwy skrypt JavaScript do kodu HTML witryny.
Po załadowaniu skrypt spróbuje załadować kolejny złośliwy plik JavaScript przechowywany w inteligentnym kontrakcie Binance Smart Chain (BSC), który następnie załaduje skrypt ClearFake lub ClickFix, aby wyświetlić fałszywe banery.
Z analizy logów dostępu do serwera WWW przeprowadzonej przez Sinegubko wynika, że atakujący wykorzystują skradzione dane uwierzytelniające administratora do logowania się do witryny WordPress i automatycznego instalowania wtyczki.
Jak widać na poniższym obrazku, autorzy zagrożenia logują się za pomocą pojedynczego żądania POST HTTP, zamiast najpierw odwiedzić stronę logowania witryny.
Oznacza to, że odbywa się to w sposób zautomatyzowany po uzyskaniu poświadczeń.
Po zalogowaniu się atakujący przesyła i instaluje złośliwą wtyczkę.
Chociaż nie jest jasne, w jaki sposób atakujący uzyskują dane uwierzytelniające, badacze zauważają, że może to nastąpić poprzez wcześniejsze ataki siłowe, phishing i złośliwe oprogramowanie kradnące informacje.
Jeśli prowadzisz działalność w oparciu o platformę WordPress i otrzymujesz zgłoszenia o wyświetlaniu fałszywych alertów odwiedzającym, powinieneś natychmiast sprawdzić listę zainstalowanych wtyczek i usunąć te, których nie instalowałeś samodzielnie.
Jeśli znajdziesz nieznane wtyczki, powinieneś natychmiast zmienić hasła wszystkich użytkowników z uprawnieniami administratora na unikalne hasła używane wyłącznie w Twojej witrynie.
