محققان امنیت سایبری بیش از 2000 سایت که از سیستم مدیریت محتوا Wordpress استفاده می کنند را شناسایی کرده اند که توسط یک اسکریپت برای دزدیدن username و password در صفحه ی ورود به بخش مدیریت سایت، آلوده شده بودند و همچنین در صفحات و بخش های اصلی سایت از یک اسکریپت مخصوص عملیات cryptojacking بر روی مرورگر استفاده می کرده اند. این خبر در حالی منتشر شده است که در ماه دسامبر 2017 میلادی، عملیاتی شبیه به همین نفوذ بر علیه سایت های بسیاری که از Wordpress استفاده می کنند رخ داده بود.
روش انجام این گونه حملات ساده و مشخص می باشد. نفوذگران به دنبال سایت های Wordpress هستند که نسخه ی هسته مرکزی آنها قدیمی بوده و دارای آسیب پذیری می باشند؛ ویا اینکه سایت های Wordpress که دارای Plugin ها و Theme های آسیب پذیر می باشند را پیدا کرده و برای انجام حمله خود از آنها استفاده می کنند و با استفاده از Exploit های موجود، کدهای آلوده خود را به source این گونه سایت ها تزریق می کنند.
کدهای آلوده تزریق شده دارای دو بخش کلی مباشد. بخش اول کدهایی که در قسمت login سامانه قرار داده می شوند و هدف آن دزدیدن اطلاعات ورود به بخش مدیریت سایت می باشد. بخش دوم، کدهای Coinhive Miner می باشد که برای استفاده از منابع CPU بازکنندگان سایت به صورت غیرمجاز و ساخت ارز Monero مورد استفاده قرار می گیرد.
در شش ماه دوم سال 2017 میلادی گروه های کلاه برداری اینترنتی از دامنه هایی همچون cloudflare.solutions برای دریافت داده های دزدیده شده از کاربران و انتقال آنها توسط Keylogger ها استفاده می کردند. در آن حملات بیش از 5500 سایت Wordpress مورد حمله قرار گرفت که با غیرفعال کردن دامنه ی فوق در 8 دسامبر 2017 این حملات به کار خود پایان دادند. بر اساس گزارش کمپانی تحقیقات امنیت سایبری Sucuri، این کمپانی که از همان سال 2017 این گروه ها را مورد شناسایی و رصد قرار داده بود، اعلام کرد که هم اکنون این گروه های کلاهبرداری از دامنه های زیر برای دریافت و ذخیره اطلاعات ارسالی از جانب Keylogger ها استفاده می کنند:
• cdjs.online
• cdns.ws
• msdns.online
همچنین با تحقیقات بیشتر مشخص شده است که بیش از 2000 سایت Wordpress که اسکریپت های آلوده بر روی آنها قرار داده شده است، این اسکریپت ها توسط دامنه های فوق بر روی سیستم مدیریت محتوا آنها بارگزاری شده است. مرکز Sucuri اعلام کرد که به احتمال بالا، تعداد سایت های آلوده شده بیشتر از میزان تخمین زده شده می باشد.
مدیران سایت توسط بررسی فایلهای به روز رسانی شده و تغییر داده شده می توانند وجود این گونه اسکریپت ها در سایت خود را مورد بررسی قرار دهند. فراموش نکنیم که همواره CMS Wordpress خود را برای جلوگیری از حملات نفوذگران به روز کنیم.
- 17