Sign1 կոչվող լայնամասշտաբ արշավը վերջին վեց ամիսների ընթացքում վնասել է WordPress-ի ավելի քան 39000 կայք։ Հարձակման ժամանակ օգտատերերին կեղծ կայքեր հղելու համար JavaScript-ի injection–եր են օգտագործվել։
Սուկուրիի այս շաբաթ հրապարակված զեկույցում նշվում է, որ malware-ի ամենավերջին տարբերակը միայն վերջին երկու ամսվա ընթացքում ավելի քան 2500 կայք է վնասել։
XOR-ով կոդավորված JavaScript կոդը հետագայում վերծանվում և օգտագործվում է remote սերվերի վրա տեղակայված JavaScript ֆայլը գործարկելու համար: Այն ի վերջո հեշտացնում է վերահղումները դեպի VexTrio-ով աշխատող traffic distribution համակարգեր (TDS)։
Malware-ն անընդհատ դինամիկ URL-ներ է գեներացնում։ Բուն ընթացքի տրամաբանական հաջորդականության համաձայն կայքի այցելուներն այնուհետև տեղափոխվում են այլ կեղծ հարթակներ։
Արշավի ժամանակ մուտքի իրավասություն ստանալու համար հաքերներն օգտագործել են plugin–երն ու theme–երի անվտանգության խոցելիությունները։
«Injection-երից շատերը գտնվում են WordPress-ի HTML widget–երում, որոնք հաքերներն ավելացնում են վտանգված կայքերում», – նշում է Մարտինը:
«Հաքերները հիմնականում տեղադրում են հենց օրինական Simple Custom CSS and JS plugin–ը»:
Աղբյուր՝ https://thehackernews.com/
