Hacking

Προσοχή! Iστοσελίδες WordPress μολύνουν τους χρήστες με Spyware

Spyware και PUAs (δυνητικά ανεπιθύμητες εφαρμογές) μεταδίδονται από παραβιασμένες ιστοσελίδες WordPress σε χρήστες, μέσω πλαστών μηνυμάτων που προτρέπουν σε ενημερώσεις του Flash και ψεύτικων browser plugins.

Ερευνητές της εταιρείας Zscaler ανακάλυψαν μια εκστρατεία διανομής spyware που βασίζεται σε παραβιασμένες ιστοσελίδες wordpress, οι οποίες ανακατευθύνουν τους χρήστες σε μολυσμένες διευθύνσεις url.

Σύμφωνα με τα ευρήματά τους, η εκστρατεία έχει ξεκινήσει από την πρώτη εβδομάδα του Αυγούστου, ενώ συνολικά έχουν παραβιαστεί περισσότερες από 2.000 ιστοσελίδες και έχουν μολυνθεί περισσότεροι από 20.000 χρήστες.

Με μια πιο προσεκτική ματιά στις μολυσμένες ιστοσελίδες οι ερευνητές ανακάλυψαν ότι τρέχουν την τελευταία έκδοση τουWordPress CMS, την έκδοση 4.3.1. Όντας η πιο πρόσφατη και η πιο ασφαλής έκδοση, το προσωπικό της Zscaler εκτιμά ότι οι περισσότερες ιστοσελίδες μολύνθηκαν σε παλαιότερες εκδόσεις, πριν την ενημέρωση του πυρήνα.

Στην πιο πρόσφατη καμπάνια που εντοπίστηκε, οι στοχευμένες ιστοσελίδες μεταφέρουν στους χρήστες κακόβουλο κώδικα javascript. Όταν ο κώδικας εκτελεσθεί στον browser του χρήστη, φορτώνει ένα iframe και αυτό με τη σειρά του φορτώνει περισσότερο JavaScript κώδικα που επιτρέπει την συλλογή και υποκλοπή πληροφοριών από τους υπολογιστές των θυμάτων, οι οποίες αποστέλλονται σε ένα C & C εξυπηρετητή.

Όταν τα δεδομένα συλλεχθούν από το τοπικό σύστημα και αποσταλούν στο διακομιστή C & C, ο χρήστης ανακατευθύνεται σε μια ιστοσελίδα, στην οποία, τις περισσότερες φορές, του ζητείται να εγκαταστήσει μια ψεύτικη ενημέρωση του Αdobe Flash Player. Στην περίπτωση που ο χρήστης προχωρήσει σε εγκατάσταση, τότε στην πραγματικότητα έχει εγκαταστήσει μια παραλλαγή του Win32.InstallCore PUA.

Μετά την εγκατάσταση του κακόβουλου λογισμικού, ο χρήστης ανακατευθύνεται στην πραγματική ιστοσελίδα της Adobe, όπου πληροφορείται ότι η εγκατάσταση του Flash Player απέτυχε, και του ζητείται να προσπαθήσει πάλι, αυτή τη φορά από την αρχική και αυθεντική πηγή.

Οι ερευνητές της Zscaler παρατήρησαν επίσης ότι, σε ορισμένες περιπτώσεις, αντί για την ψεύτικη ενημέρωση της έκδοση του Adobe Flash Player, οι χρήστες κλήθηκαν να εγκαταστήσουν διάφορα browser add-ons.


Αν και όλα αυτά τα λογισμικά (spyware,scareware,adware και PUAs) είναι χαμηλού επιπέδου υποκλοπής, μολαταύτα είναι επικίνδυνα, κυρίως επειδή μπορούν να χρησιμοποιηθούν αργότερα ως σημεία εισόδου για πιο επιζήμια malware. Αυτό οφείλεται στο γεγονός ότι σχεδόν όλα τα σύγχρονα malware τις μέρες αυτές, φέρουν τη δυνατότητα να κατεβάζουν άλλους ιούς και trojans στους ήδη μολυσμένους υπολογιστές.





Πηγη

About Odigontas Trolley

Από το Blogger.