هک گسترده وب‌سایت‌های وردپرس برای انتشار بدافزارهای ویندوز و مک

هکرها با سوءاستفاده از نسخه‌های قدیمی وردپرس و افزونه‌های آن، هزاران وب‌سایت را آلوده و هک کرده‌اند تا کاربران را به دانلود و نصب بدافزار ترغیب کنند.

به گزارش تک‌ناک، سایمون ویکمنز، مدیرعامل و بنیان‌گذار شرکت امنیتی c/side که این حملات را کشف کرده است، در گفت‌وگو با TechCrunch تأکید کرد که این کمپین هکری همچنان فعال است.

هدف مهاجمان، انتشار بدافزاری است که گذرواژه‌ها و اطلاعات شخصی کاربران ویندوز و مک را سرقت می‌کند. طبق اعلام c/side، برخی از این وب‌سایت‌های آلوده، جزو پربازدیدترین سایت‌های اینترنتی هستند.

هیمانشو آناند، یکی از پژوهشگران c/side، این حمله را «گسترده و به طور کامل تجاری‌سازی‌شده» توصیف کرده و آن را از نوع «پخش انبوه و دریافت سود» دانسته است.

به گفته او، برخلاف برخی حملات هدفمند، در این روش هر کاربری که از وب‌سایت‌های آلوده بازدید کند، در معرض خطر قرار می‌گیرد.

نمایش صفحات جعلی به‌روزرسانی در سایت‌های آلوده

به گفته پژوهشگران، وب‌سایت‌های آلوده هنگام بارگذاری در مرورگر کاربر، به‌سرعت با تغییر محتوا یک صفحه جعلی را نمایش می‌دهند، که از کاربران می‌خواهد برای مشاهده وب‌سایت، مرورگر Chrome خود را به‌روزرسانی کنند. در صورت پذیرش این درخواست، فایل مخربی که خود را به‌عنوان بسته به‌روزرسانی جا زده است، متناسب با سیستم‌عامل کاربر (ویندوز یا مک) دانلود می‌شود.

ویکمنز اعلام کرد که شرکت Automattic، توسعه‌دهنده WordPress.com، در جریان این حملات قرار گرفته و فهرست دامنه‌های مخرب به این شرکت ارسال شده است. شرکت Automattic هنوز در این زمینه اظهار نظر رسمی ارائه نکرده است.

طبق گزارش c/side، تاکنون بیش از ۱۰ هزار وب‌سایت وردپرس در این حملات هک شده‌اند. ویکمنز توضیح داد که پژوهشگران این شرکت با استفاده از روش‌های خودکار، اسکریپت‌های مخرب را روی دامنه‌های مختلف شناسایی و با بهره‌گیری از تکنیک جست‌وجوی معکوس DNS، دامنه‌های مرتبط را نیز کشف کرده‌اند.

هرچند TechCrunch نتوانسته است صحت این آمار را به‌ طور مستقل تأیید کند، اما بررسی‌ها نشان داده‌اند که برخی از وب‌سایت‌های آلوده همچنان این محتوای مخرب را نمایش می‌دهند.

انتشار بدافزارهای سرقت اطلاعات

دو نوع بدافزار اصلی از طریق این وب‌سایت‌های مخرب توزیع می‌شود: Amos (یا Amos Atomic Stealer) که کاربران macOS را هدف قرار می‌دهد و SocGholish که مخصوص کاربران ویندوز است.

شرکت امنیت سایبری SentinelOne در مه ۲۰۲۳، Amos را به‌ عنوان یک بدافزار سرقت اطلاعات معرفی کرد. این بدافزار با آلوده کردن سیستم کاربران، اطلاعاتی از جمله گذرواژه‌ها، کوکی‌های نشست، کیف پول‌های دیجیتال و داده‌های حساس دیگر را استخراج می‌کند. در همان زمان، شرکت Cyble نیز گزارش داد که این بدافزار در پلتفرم تلگرام به فروش گذاشته شده است.

پاتریک واردل، متخصص امنیت macOS و هم‌بنیان‌گذار استارت‌آپ DoubleYou، این بدافزار را «پرکاربردترین بدافزار سرقت اطلاعات در macOS» توصیف کرده است.

او اشاره کرد که Amos با مدل بدافزار به‌ عنوان سرویس عرضه شده است، به این معنا که توسعه‌دهندگان آن، این بدافزار را در اختیار هکرها قرار می‌دهند.

به گفته واردل، نصب موفقیت‌آمیز این بدافزار در macOS و هک وب‌سایت‌های وردپرس، نیازمند اقدام دستی کاربر است و باید چندین لایه امنیتی اپل دور زده شود.

اگرچه این کمپین هکری پیچیده‌ترین نوع حمله به حساب می‌آید، اما نشان‌دهنده خطراتی است که کاربران را تهدید می‌کند. اتکای هکرها به فریب کاربران برای نصب بدافزار، اهمیت به‌روزرسانی مرورگر از طریق سیستم داخلی Chrome و نصب برنامه‌های معتبر را یادآوری می‌کند.

بدافزارهای سرقت گذرواژه و اطلاعات کاربری، در برخی از بزرگ‌ترین حملات سایبری تاریخ نقش داشته‌اند. در سال ۲۰۲۴، هکرها با استفاده از گذرواژه‌های سرقت‌شده از کامپیوترهای کارکنان Snowflake، به اطلاعات شرکت‌های بزرگی دسترسی پیدا کردند، که داده‌های خود را در این پلتفرم ذخیره کرده بودند.