Читаоци попут вас помажу у подршци МУО. Када обавите куповину користећи везе на нашем сајту, можда ћемо зарадити провизију за партнере.
Нова злонамерна СЕО кампања је успешно компромитовала преко 15.000 ВордПресс веб локација. Циљ кампање је да преусмери кориснике на лажне сајтове за питања и одговоре како би се повећао промет посетилаца.
Компромитовано преко 15.000 ВордПресс сајтова
У новој кампањи за преусмеравање црних шешира, хакери су успели да компромитују преко 15.000 ВордПресс веб локација како би повећали ранг претраживача разних лажних веб локација.
Како је објављено у а Суцури блог пост, приметан је пораст веб локација за преусмеравање малвера на ВордПресс од септембра 2022. Ови сајтови за преусмеравање воде кориснике на лажне портале за питања и одговоре ниског квалитета. Само током септембра и октобра, хакери су успели да циљају преко 2.500 сајтова.
Суцури, истраживач безбедности, до сада је открио 14 лажних веб локација, чији су сервери заклоњени пуномоћник. Питања приказана на сајтовима су преузета са других, легитимних платформи за питања и одговоре. Са повећаним СЕО рангирањем, ови сајтови могу да досегну више појединаца.
Лажни сајтови за питања и одговоре могу да шире злонамерни софтвер
Лажни сајтови који се користе у овој кампањи за преусмеравање могу да шире малвер посетиоцима. За разлику од многих злонамерних сајтова, ови конкретни лажни форуми за питања и одговоре могу да модификују преко 100 заражених датотека по сајту. Ово се не ради често, јер чини њихово откривање и прекид вероватнијим.
У горе поменутом блог посту, Суцури је навео да је већина заражених датотека језгро ВордПресс-а датотеке, али и набројао велики број датотека које су најчешће заражене, а све имају .пхп проширења. Листа заражених .пхп датотека је приказана у наставку:
- ./вп-сигнуп.пхп
- ./вп-црон.пхп
- ./вп-линкс-опмл.пхп
- ./вп-сеттингс.пхп
- ./вп-цомментс-пост.пхп
- ./вп-маил.пхп
- ./кмлрпц.пхп
- ./вп-ацтивате.пхп
- ./вп-трацкбацк.пхп
- ./вп-блог-хеадер.пхп
Суцури је такође истакао да је откривено да је малвер присутан у неким псеудолегитимним именима датотека које су сами хакери одбацили, укључујући:
- РВбЦГлЕјк6Х.пхп
- лвојмд.пхп
- вп-невслет.пхп
- вп-вер.пхп
- вп-логлн.пхп
Метода хакерског кршења може бити рањиви додатак или груба сила
Суцури још није открио како ови хакери црних шешира проваљују ове ВордПресс сајтове, али се сматра да су рањиви додатак или напад грубом силом највероватнији кривци. Хакери можда користе комплет за експлоатацију да би пронашли безбедносне пропусте у додацима да би истакли циљ. Алтернативно, лозинка за пријаву администратора ВордПресс сајта може бити пробијена коришћењем алгоритма у напад грубом силом.
ВордПресс сајтови су уобичајене мете експлоатације
Ово ни у ком случају није први пут да су ВордПресс сајтови на мети злонамерних актера. Милиони ВордПресс сајтова су били компромитовани од стране сајбер-криминалаца у прошлости, и нема сумње да ће још много њих наставити да буду жртве таквих напада.
