Mais do que 100 000 sites que são executados no sistema de gerenciamento de conteúdo do WordPress foram recentemente infectado por um malware misterioso. Uma vez infectado os sites se tornam plataformas para ataques, carregando códigos maliciosos em páginas da web que são inseridos pelos telespectadores.
Pesquisadores de segurança confirmam que esta campanha de malware fez Google marca de mais de 11 000 domínios como sendo malicioso. Esta campanha foi nomeado SoakSoak, após o primeiro domínio que foi comprometida. De acordo com Sucuri empresa que ajuda os operadores do site proteger seus servidores no entanto, existem muitos outros sites foram vistos como sendo comprometida. Os especialistas em segurança de Sucuri descobriram que a infecção foi causada por uma vulnerabilidade para um vetor de ataque de malware conhecido como RevSlider. Este é um plugin para WordPress que foi divulgada através de vários fóruns clandestinos no início de setembro. Especialistas dizem que essa vulnerabilidade é conhecida como arquivo local Inclusão ataque, que permite que o invasor acessar e baixar um arquivo local no servidor. Tais vulnerabilidades precisa ser resolvido imediatamente.
Sucuri empresa tem observado um ataque que faz com que sites infectados para carregar um código de ataque muito ofuscado em cada página da Web e que o código inclui o seguinte componente:
→(“%28%0D function () { % .. 72ipt.id = 'xxyyzz_petushok'; head.appendChild (script); } () );”));
Este código especial faz com que as páginas de download de conteúdo malicioso hxxp: //soaksoak.ru/xteas/code. Com base nos comentários dos usuários, os administradores de alguns dos sites foram surpreendidos a entender que os sites que eles monitoram estão infectados. O processo de desinfecção desses sites requer a remoção do código malicioso que é adicionado a um script que está localizado no wp-includes / template-Loader.php. Isto faz com que um arquivo JavaScript que pode ser carregado em cada página do site. Uma vez decodificado ele pode carregar o malware.
Todos os administradores da plataforma WordPress que acontecerá a usar o plugin Revolution Slider precisa ter certeza de que ele é atualizado. Ainda assim, os pesquisadores de malware têm dificuldade para obter todos os sites de aplicar a correção de uma forma universal. Tanto assim é que o RevSlider plugin é um plugin prémio, não é algo que pode ser facilmente atualizado e, portanto, este plugin se torna perigoso para o proprietário do site. Isso se torna ainda mais grave, como alguns dos proprietários de sites não sabem que eles realmente possuem este plugin em seu ambiente, como ele vem em um pacote com seus temas.
A campanha de malware SoakSoak funciona por meio de várias cargas úteis backdoor, injectado em textos ou imagens. Eles podem ser utilizados para instalar novos utilizadores administrador e, assim, permitir o controlo sobre o sítio para um período de tempo longo.
Os especialistas em segurança da empresa Sucuri afirmou ainda que eles tenham encontrado problemas de segurança em outros plugins WordPress como WPtouch (5,670,626 Transferências), Disqus (1,400,003 Transferências), All In One SEO Pack (19,152,355 Transferências), e MailPoet Newsletters (1,894,474 Transferências).
Os especialistas em segurança, note também que a limpeza dos sites infectados não é fácil. Eles observam que existem recomendações específicas on-line que os conselhos de usuários para substituir os swfobject.js e arquivos de template-Loader.php, a fim de remover a infecção. Essa atividade, porém, não é uma garantia, uma vez que irá remover a infecção, mas não vai fechar as portas dos fundos e os pontos de entrada utilizados em primeiro lugar e, assim, o site pode ser infectado novamente. Os ataques maliciosos não precisam apenas de ser limpo, mas também para ser parado. Isto poderia ser feito por um firewall site, o que pode reduzir os possíveis ataques de malware.
Os especialistas em segurança estão incentivando os usuários a atualizar para a versão mais recente disponível e, em seguida, verifique e limpe a lista de usuário administrador do seu banco de dados para evitar outras infecções.