Più di 100 000 siti web che girano sul sistema di gestione dei contenuti di WordPress sono stati recentemente infettati da un misterioso di malware. Una volta infettati i siti diventano piattaforme per attacchi, caricare codici maligni nelle pagine web che vengono inseriti dagli spettatori.
I ricercatori di sicurezza confermano che questa campagna di malware ha fatto segno di Google più di 11 000 domini come essere dannoso. Questa campagna è stata nominata SoakSoak, dopo il primo dominio che è stata compromessa. Secondo la società di Sucuri che aiuta gli operatori del sito web sicuri i propri server tuttavia, ci sono molti altri siti sono stati avvistati da compromissione. Gli esperti di sicurezza di Sucuri hanno scoperto che l'infezione è stata causata da una vulnerabilità di un vettore di attacco malware noto come RevSlider. Questo è un plugin per WordPress che è stato divulgato attraverso diversi forum underground all'inizio di settembre. Gli esperti dicono che questa vulnerabilità è nota come file locale attacco Inclusion, che permette l'attaccante di accedere e scaricare un file locale sul server. Tali vulnerabilità hanno bisogno di essere risolto immediatamente.
Società Sucuri ha osservato un attacco che causa i siti infetti per caricare un codice di attacco molto offuscato su ogni pagina web e il codice include i seguenti componenti:
→(“%28%0D function () { % .. 72ipt.id = 'xxyyzz_petushok'; head.appendChild (sceneggiatura); } () );”));
Questo codice particolare rende le pagine scarica payload dannoso hxxp: //soaksoak.ru/xteas/code. Sulla base dei commenti degli utenti, sono stati sorpresi gli amministratori di alcuni dei siti web per capire che i siti che monitorano sono infettati. Il processo di disinfezione di questi siti richiede la rimozione del codice nocivo che viene aggiunto a uno script che si trova presso il wp-includes / template-loader.php. Questo lo rende un file JavaScript che può essere caricato in ogni pagina del sito. Una volta decodificato può caricare il malware.
Tutti gli amministratori della piattaforma WordPress che capita di utilizzare il plugin Slider rivoluzione devono assicurarsi che sia aggiornato. Comunque, i ricercatori di malware hanno difficoltà a ottenere tutti i siti applicare la correzione in modo universale. Questo è così come la RevSlider plugin è un plugin premium, non qualcosa che può essere facilmente aggiornato e quindi questo plugin diventa pericolosa per il proprietario del sito web. E diventa ancora più grave in quanto alcuni dei proprietari di siti web non sanno che in realtà possiedono questo plugin nel loro ambiente, come viene in un pacchetto con i loro temi.
La campagna di malware SoakSoak funziona utilizzando diversi carichi utili backdoor, iniettato in testi o immagini. Possono essere usati per installare nuovi utenti amministratore e quindi consentire il controllo del sito per un lungo periodo di tempo.
Gli specialisti di sicurezza di società Sucuri inoltre dichiarato di aver trovato i problemi di sicurezza di altri plugin di WordPress, come WPtouch (5,670,626 Scarica), Disqus (1,400,003 Scarica), All In One SEO pacchetto (19,152,355 Scarica), e MailPoet Newsletters (1,894,474 Scarica).
Gli specialisti della sicurezza anche notare che la pulizia dei siti infetti non è facile. Essi rilevano che ci sono raccomandazioni specifiche online che consiglio agli utenti di sostituire i swfobject.js e file template-loader.php al fine di rimuovere l'infezione. Questa attività però non è una garanzia, come sarà rimuovere l'infezione, ma non chiudere le backdoor e punti di ingresso utilizzati in primo luogo e quindi il sito web può essere infettato nuovamente. Gli attacchi dannosi non solo bisogno di essere puliti, ma anche per essere fermato. Ciò potrebbe essere fatto da un sito web firewall, che può ridurre i possibili attacchi da parte di malware.
Gli esperti di sicurezza sono incoraggianti gli utenti ad aggiornare all'ultima versione disponibile e quindi controllare e pulire la lista utente admin dal loro database per prevenire altre infezioni.