شش هزار وب سایت وردپرس توسط افزونه‌های مخرب جعلی هک شدند!

تیم امنیتی GoDaddy در حال ردیابی نوع جدیدی از حملات به روزرسانی جعلی مرورگر تحت عنوان ClickFix (معروف به ClearFake) است که از طریق نصب پلاگین‌های جعلی وردپرس انجام می‌شود. تکنیک ClickFix از استراتژی‌های مهندسی اجتماعی برای فریب کاربران به منظور اجرای کدهای مخرب استفاده می‌کند و در نهایت سیستم‌های آن‌ها را به انواع مختلف بدافزارها و رباینده‌های اطلاعات آلوده می‌نماید.

این تاکتیک در واقع شامل نمایش پیام‌های خطای جعلی در مرورگرهای وب برای فریب دادن کاربران به کپی کردن و اجرای کدهای مخرب PowerShell است که منجر به استقرار بدافزار می‌شوند.

هکرها این حملات را با ورود به وب سایت‌هایی که داده‌های لاگین آن را ربوده یا هک کرده‌اند آغاز می‌کنند و سپس پلاگین‌های جعلی را در این وب سایت‌ها نصب می‌کنند.

پلاگین‌‌های جعلی، کد جاوا اسکریپت را به منظور به ‌روزرسانی جعلی مرورگر تزریق می‌کنند که از بلاکچین و قراردادهای هوشمند برای دریافت و تحویل پیلودهای مخرب استفاده می‌کنند (عملی که به عنوان EtherHiding شناخته می‌شود).

هنگامی که جاوا اسکریپت در مرورگر اجرا می‌شود، اعلان‌های به‌روزرسانی جعلی مرورگر را به کاربران نشان میدهد و آنها را راهنمایی می‌کند تا بدافزار را روی رایانه‌ خود نصب کنند. این بدافزارها معمولاً شامل تروجان‌های دسترسی از راه دور و بدافزارهای رباینده اطلاعات مختلف مانند Vidar Stealer و Lumma Stealer می‌باشند.

افزونه‌های جعلی وردپرس

افزونه‌های جعلی وردپرس از نام‌های عمومی و قانونی مانند “Advanced User Manager” یا ” Quick Cache Cleaner”، “Wordfense Security” و “LiteSpeed Cache” استفاده می‌کنند. لیست پلاگین‌های مخربی که در این حملات بین ژوئن تا سپتامبر 2024 مشاهده شده‌اند عبارتند از:

نام پلاگین	اسکریپت تزریق شده
Admin Bar Customizer	admin-bar-customizer/abc-script.js
Advanced User Manager	advanced-user-manager/aum-script.js
Advanced Widget Manage	advanced-widget-manage/awm-script.js
Content Blocker	content-blocker/cb-script.js
Custom CSS Injector	custom-css-injector/cci-script.js
Custom Footer Generator	custom-footer-generator/cfg-script.js
Custom Login Styler	custom-login-styler/cls-script.js
Dynamic Sidebar Manager	dynamic-sidebar-manager/dsm-script.js
Easy Themes Manager	easy-themes-manager/script.js
Form Builder Pro	form-builder-pro/fbp-script.js
Quick Cache Cleaner	quick-cache-cleaner/qcc-script.js
Responsive Menu Builder	responsive-menu-builder/rmb-script.js
SEO Optimizer Pro	seo-optimizer-pro/sop-script.js
Simple Post Enhancer	simple-post-enhancer/spe-script.js
Social Media Integrator	social-media-integrator/smi-script.js

اکثر این پلاگین‌های جعلی مخرب بیش از پانصد شناسایی در PublicWWW دارند. بر اساس تجزیه و تحلیل انجام شده توسط GoDaddy Security، تخمین زده می‌شود که بیش از 6000 دامنه منحصر به فرد در سراسر جهان تحت تأثیر حمله اخیر قرار گرفته‌اند.

همانطور که در ابتدای گزارش اشاره شد، به نظر می‌رسد که هکرها از داده‌های لاگین ربوده شده برای ورود به سایت‌های وردپرس و نصب افزونه به صورت خودکار استفاده می‌کنند. هکرها از طریق یک درخواست POST HTTP به جای بازدید از صفحه لاگین به سایت وارد می‌شوند.

این کار به صورت خودکار و پس از دریافت داده‌های لاگین انجام می‌شود. هنگامی که هکر وارد وب سایت وردپرس می‌شود، افزونه مخرب را آپلود و نصب می‌کند.

در حالی که هنوز مشخص نیست هکرها چگونه داده‌های لاگین را به دست آورده‌اند، محققان حدس می‌زنند که این کار ممکن است از طریق حملات بروت فورس، فیشینگ و بدافزارهای رباینده اطلاعات انجام شده باشد.

لازم به ذکر است که زنجیره حمله در سیستم عامل ویندوز با استقرار بدافزارهای رباینده StealC و Rhadamanthys تکامل می‌یابد، در حالی که کاربران macOS اپل یک فایل ایمیج دیسک به نام Launcher_v1.94.dmg را دریافت می‎کنند که یک بدافزار رباینده اطلاعات به نام Atomic را مستقر خواهد کرد.

چنانچه شما دارای سایت وردپرس هستید و هشدارهای جعلی مبنی بر به روزرسانی دریافت می‌کنید، می‌بایست هر چه سریع‌تر لیست پلاگین‌های نصب شده را بررسی کرده و هر کدام را که خودتان نصب نکرده‌اید حذف نمایید.

اگر افزونه‌های ناشناخته‌ای پیدا کردید، باید بلافاصله پسورد admin و سایر کاربران را به یک رمز عبور منحصر به فرد و پیچیده تغییر دهید.