Jelszavakat lopnak a fertőzött weboldalak

​Több mint ötezer olyan WordPress alapú weboldal működik világszerte, amelyek egy kártékony kód következtében szivárogtatják a felhasználók jelszavait.
 

A WordPress elleni támadások meglehetősen gyakorinak számítanak. Mivel egy nagyon népszerű és széles körben alkalmazott tartalomkezelőről van szó, ezért az ezeket érő, sokszor automatizált támadások sok problémát idéznek elő. E károkozások gyakorta meglehetősen kifinomult módszerekre épülnek, így az is sokszor előfordul, hogy a kompromittált weboldal tulajdonosa vagy üzemeltetője sem figyel fel a rendellenességekre. Az ilyen típusú alvilági eszközök közé tartozik az a kártékony kód is, amely WordPress alapú weblapokon keresztül segíti a kriptobányászokat, illetve lopkodja a látogatók adatait.
 
A támadás során felhasznált kód nem teljesen új szerzemény, ugyanis annak első változatai már áprilisban is terjedtek. Akkor még a kriptobányászat volt az elsődleges céljuk a csalóknak, akik elsősorban JavaScript alapú megoldásokat használtak, amiket különféle bannerekbe ágyaztak. Novemberben aztán elkezdődött a második jelentősebb támadási hullám, amikor a káros kódjukat hamis jQuery, valamint Google Analytics (.js) fájloknak álcázták. Majd az elmúlt napokban még nagyobb fokozatra kapcsoltak az elkövetők, így mostanra már több mint 5500 weboldal esett áldozatul.
 
A szóban forgó támadások fontos jellemzője, hogy egy megtévesztő, hamis cloudflare[.]solutions domain név felhasználásával következnek be. Természetesen e károkozásoknak semmi köze sincs a Cloudflare szolgáltatóhoz, a támadók csupán megtévesztési célokkal használják fel a vállalat ismertségét.
 
Amikor a felhasználó vagy a frontend felületen vagy az adminisztrációs oldalon megadja az adatait (többek között a felhasználónevét és a jelszavát), akkor az értékes adatokat a káros kód rögtön feltölti egy távoli kiszolgálóra a következő URL használatával: wss://cloudflare[.]solutions:8085/

 
A támadásokat alaposan elemző Sucuri szakemberei szerint az ártalmas script a function.php állományba fészkeli be magát, és a következő bejegyzéseket fűzi hozzá a weblapok kódjához:
 
 
A biztonsági szakértők minden WordPress üzemeltető számára azt javasolják, hogy ellenőrizzék a function.php állomány integritását (elsősorban az add_js_scripts bejegyzésekre érdemes figyelni). Ha pedig egy weboldalról az derül ki, hogy fertőzött, akkor mihamarabb célszerű resetelni a felhasználók jelszavát, és megkérni őket, hogy új bejelentkezési adatokat adjanak meg. A kockázatok különösen akkor jelentkeznek fokozottan, amikor a célkeresztbe állított webhely például webáruházként is funkcionál, hiszen ilyen esetekben a felhasználók jóval több személyes, vagy akár pénzügyi adatot adnak meg. 
 
  1. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  2. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  3. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  4. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  5. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  6. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  7. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  8. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

  9. 4

    A Microsoft egy biztonsági javítást tett letölthetővé az Exchange Serverhez.

  10. 4

    A Microsoft egy sérülékenységről számolt be az Office kapcsán.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség