Egy új kibertámadási kampány ismét rávilágított arra, mennyire sebezhetőek lehetnek a nem frissített WordPress oldalak. Biztonsági kutatók szerint hackerek tömegesen törnek fel weboldalakat, majd egy megtévesztő módszerrel malware terjesztésére használják azokat.
A támadás különösen alattomos, mert a látogatók többsége észre sem veszi, hogy csapdába sétált.
A kutatók szerint a támadók egy hamis Cloudflare CAPTCHA ellenőrzést jelenítenek meg az oldalak látogatóinak. Első ránézésre minden teljesen legitimnek tűnik, hiszen az interneten ma már szinte mindenhol találkozunk ilyen „nem vagyok robot” ellenőrzésekkel.
A különbség azonban a részletekben rejlik.
A CAPTCHA, ami valójában malware
A támadás során a felhasználó nem egy jelölőnégyzetre kattint, vagy egy képes rejtvényt old meg. Ehelyett arra kérik, hogy másoljon be egy parancsot a Windows „Futtatás” ablakába.
Sokan ezt gondolkodás nélkül megteszik, mert azt hiszik, ez a CAPTCHA része. Valójában viszont ekkor indítják el saját kezűleg a fertőzést a számítógépükön.
A parancs letölt és futtat egy úgynevezett infostealer malware-t, amely képes megszerezni a böngészőben tárolt jelszavakat, hitelesítési sütiket, kriptotárca adatokat és más érzékeny információkat.
Több mint 250 weboldal érintett
A kampányt biztonsági szakértők szerint egy automatizált rendszer végzi. A támadók folyamatosan pásztázzák az internetet olyan WordPress oldalak után kutatva, amelyek valamilyen módon sebezhetőek.
Ez lehet gyenge admin jelszó, elavult plugin vagy nem frissített sablon. Amint hozzáférést szereznek, a támadók nem változtatják meg látványosan a weboldalt. Ehelyett csendben beillesztik a hamis CAPTCHA kódot.
A módszer azért hatékony, mert az oldal látszólag teljesen normálisan működik.
A biztonsági kutatók szerint eddig több mint 250 weboldalt kompromittáltak, köztük kisebb médiaportálokat, vállalati oldalakat és még egy amerikai szenátusi jelölt kampányoldalát is.
Automatizált támadás a WordPress ellen
A szakértők szerint a támadás nem egyedi célpontokra irányul, hanem teljesen automatizált. A rendszer egyszerűen végigpróbálja a sebezhető WordPress példányokat, majd a feltört oldalakra telepíti a fertőző kódot.
Ez arra utal, hogy a háttérben egy szervezett, hosszabb távú kiberbűnözői művelet állhat.
Az ilyen támadások különösen veszélyesek, mert a fertőzés nem a weboldal üzemeltetőit célozza közvetlenül, hanem a látogatókat. A weboldal így gyakorlatilag egy malware terjesztő platformmá válik.
Hogyan lehet elkerülni a fertőzést?
A legfontosabb szabály egyszerű: egy valódi CAPTCHA soha nem kér arra, hogy parancsot futtassunk a számítógépünkön.
Ha egy weboldal azt kéri, hogy másoljunk be valamit a Windows Run ablakba, az szinte biztosan csalás.
A weboldalak tulajdonosainak pedig különösen fontos a WordPress rendszeres frissítése, a pluginek karbantartása és az erős admin jelszavak használata. A legtöbb támadás ugyanis pont az elavult vagy rosszul konfigurált oldalak ellen sikeres.
