Witryny WordPress padają ofiarą ataków hakerskich, w których instalowane są złośliwe wtyczki wyświetlające fałszywe aktualizacje oprogramowania i błędy, w celu rozpowszechniania złośliwego oprogramowania kradnącego informacje.

W ciągu ostatnich kilku lat złośliwe oprogramowanie kradnące informacje stało się plagą dla osób zajmujących się bezpieczeństwem na całym świecie, ponieważ skradzione dane uwierzytelniające są wykorzystywane do włamywania się do sieci i kradzieży danych.

Od 2023 r. prowadzona jest złośliwa kampania o nazwie ClearFake, polegająca na wyświetlaniu na zainfekowanych stronach internetowych fałszywych banerów informujących o aktualizacji przeglądarki internetowej . Banery te rozpowszechniają złośliwe oprogramowanie kradnące informacje.

W 2024 r. wprowadzono nową kampanię o nazwie ClickFix, która ma wiele podobieństw do ClearFake, ale zamiast tego udaje komunikaty o błędach oprogramowania z dołączonymi poprawkami. Jednak te „poprawki” to skrypty programu PowerShell, które po uruchomieniu pobierają i instalują złośliwe oprogramowanie kradnące informacje.

Kampanie ClickFix stały się w tym roku coraz powszechniejsze. Aktorzy zagrożeń włamują się na strony internetowe, aby wyświetlać banery z fałszywymi błędami dotyczącymi przeglądarki Google Chrome, konferencji Google Meet, Facebooka, a nawet stron z captcha.

Złośliwe wtyczki WordPress

W zeszłym tygodniu firma GoDaddy poinformowała , że cyberprzestępcy ClearFake/ClickFix włamali się na ponad 6000 witryn WordPress i zainstalowali złośliwe wtyczki wyświetlające fałszywe alerty związane z tymi kampaniami.

„Zespół ds. bezpieczeństwa GoDaddy śledzi nową odmianę złośliwego oprogramowania ClickFix (znanego również jako ClearFake), rozpowszechniającego fałszywe aktualizacje przeglądarki za pośrednictwem fałszywych wtyczek WordPress” — wyjaśnia Denis Sinegubko, badacz ds. bezpieczeństwa w GoDaddy .

„Te pozornie legalne wtyczki są zaprojektowane tak, aby administratorzy witryn uważali je za nieszkodliwe, ale zawierają osadzone złośliwe skrypty, które wyświetlają użytkownikom końcowym fałszywe monity o aktualizację przeglądarki”

Złośliwe wtyczki wykorzystują nazwy podobne do nazw legalnych wtyczek, takich jak Wordfense Security i LiteSpeed Cache, podczas gdy inne stosują ogólne, wymyślone nazwy.

Lista złośliwych wtyczek zaobserwowanych w tej kampanii w okresie od czerwca do września 2024 r. obejmuje:

• LiteSpeed Cache Classic
• Custom CSS Injector
• MonsterInsights Classic
• Custom Footer Generator
• Wordfence Security Classic
• Custom Login Styler
• Search Rank Enhancer
• Dynamic Sidebar Manager
• SEO Booster Pro
• Easy Themes Manager
• Google SEO Enhancer
• Form Builder Pro
• Rank Booster Pro
• Quick Cache Cleaner
• Admin Bar Customizer
• Responsive Menu Builder
• Advanced User Manager
• SEO Optimizer Pro
• Advanced Widget Manage
• Simple Post Enhancer
• Content Blocker
• Social Media Integrator

Firma zajmująca się bezpieczeństwem stron internetowych Sucuri zauważyła również, że częścią tej kampanii jest fałszywa wtyczka o nazwie „Universal Popup Plugin”.

Po zainstalowaniu złośliwa wtyczka, w zależności od wariantu, podejmie różne działania WordPressa, aby wstrzyknąć złośliwy skrypt JavaScript do kodu HTML witryny.

Po załadowaniu skrypt spróbuje załadować kolejny złośliwy plik JavaScript przechowywany w inteligentnym kontrakcie Binance Smart Chain (BSC), który następnie załaduje skrypt ClearFake lub ClickFix, aby wyświetlić fałszywe banery.

Z analizy logów dostępu do serwera WWW przeprowadzonej przez Sinegubko wynika, że atakujący wykorzystują skradzione dane uwierzytelniające administratora do logowania się do witryny WordPress i automatycznego instalowania wtyczki.

Jak widać na poniższym obrazku, autorzy zagrożenia logują się za pomocą pojedynczego żądania POST HTTP, zamiast najpierw odwiedzić stronę logowania witryny.

Oznacza to, że odbywa się to w sposób zautomatyzowany po uzyskaniu poświadczeń.

Po zalogowaniu się atakujący przesyła i instaluje złośliwą wtyczkę.

Chociaż nie jest jasne, w jaki sposób atakujący uzyskują dane uwierzytelniające, badacze zauważają, że może to nastąpić poprzez wcześniejsze ataki siłowe, phishing i złośliwe oprogramowanie kradnące informacje.

Jeśli prowadzisz działalność w oparciu o platformę WordPress i otrzymujesz zgłoszenia o wyświetlaniu fałszywych alertów odwiedzającym, powinieneś natychmiast sprawdzić listę zainstalowanych wtyczek i usunąć te, których nie instalowałeś samodzielnie.

Jeśli znajdziesz nieznane wtyczki, powinieneś natychmiast zmienić hasła wszystkich użytkowników z uprawnieniami administratora na unikalne hasła używane wyłącznie w Twojej witrynie.