Sofisticirana malver kampanja napada WordPress web-sajtove pomoću lažnog “Core” dodatka
Istraživači iz Wordfence-a otkrili su veoma sofisticiranu malver kampanju usmjerenu na kompromitovanje WordPress veb-sajtova. U centru ove kampanje nalazi se zlonamjerni dodatak pod varljivim nazivom „WordPress Core“, koji izgleda kao legitimni dio WordPress sistema. Iako na prvi pogled djeluje bezazleno, dodatak sadrži opasan malver koji je dizajniran da krade osjetljive podatke korisnika, uključujući brojeve platnih kartica, lozinke i druge lične informacije.
Kako funkcioniše malver
Ono što ovu kampanju čini posebno opasnom jeste njena prikrivenost. Malver se aktivira isključivo na stranicama za naplatu, dok vješto izbjegava administratorske stranice kako bi ostao neotkriven. Wordfence istraživači otkrili su da novije verzije ovog malvera mogu da kreiraju lažne obrasce za plaćanje koji izgledaju gotovo identično kao legitimni.
Ove lažne forme imitiraju Cloudflare-ove bezbjednosne provjere, uključujući animirane CAPTCHA izazove, podršku za više jezika, tamni režim i interaktivne elemente — sve s ciljem da prevare čak i iskusne korisnike.
Više verzija malvera, isti cilj
Wordfence je pratio ovu kampanju unazad do septembra 2023. godine, analizirajući preko 20 različitih verzija malvera. Iako se funkcionalnosti razlikuju, sve dijele modularnu arhitekturu, prilagođenu specifičnim ciljevima napada:
- Ubacivanje reklama: Neke verzije manipulišu Google oglasima i prikazuju zlonamjerne oglase korisnicima mobilnih uređaja.
- Krađa pristupnih podataka: Druge verzije ciljaju na krađu lozinki i korisničkih naloga na WordPressu.
- Preusmjeravanje linkova: Određene varijante mijenjaju legitimne linkove na sajtu i šire dodatni malver.
- Slanje podataka u realnom vremenu: Neke verzije koriste Telegram aplikaciju za trenutno slanje ukradenih podataka, često maskiranih kao URL adrese slika.
Skrivena kontrolna tabla i zloupotreba WooCommerce dodatka
Jedna od ključnih komponenti napada je skriveni upravljački interfejs koji se nalazi direktno na kompromitovanom sajtu. Tu napadači čuvaju ukradene podatke, organizovane po kategorijama, u posebno kreiranom dijelu „messages“ unutar WordPress baze podataka.
Malver takođe koristi popularni WooCommerce dodatak kako bi lažne narudžbe prikazao kao uspješno realizovane, dodatno otežavajući otkrivanje napada.
Upozorenja i mjere zaštite
Administratori sajtova bi trebalo da obrate pažnju na sumnjive dodatke koje sami nisu instalirali, naročito one povezane sa nepoznatim domenima kao što su:
- api-service-188910982.website
- graphiccloudcontent.com
Ova kampanja je snažan podsjetnik da čak i najpoznatije platforme, poput WordPress-a, mogu biti zloupotrijebljene od strane sajber kriminalaca. Održavanje visokog nivoa bezbjednosne svijesti, redovna provjera dodataka i korišćenje pouzdanih bezbjednosnih alata ključni su za zaštitu vašeg sajta.
