قامت حملة جديدة من البرامج الضارة باختراق أكثر من 5000 موقع WordPress لإنشاء حسابات إدارية، وتثبيت مكون إضافي ضار، وسرقة البيانات.
اكتشف الباحثون في شركة أمن الويب c/side خلال مشاركة الاستجابة للحوادث لأحد عملائهم أن النشاط الضار يستخدم wp3[.]xyz لتصفية البيانات ولكن لم يتم بعد تحديد ناقل العدوى الأولي.
بعد اختراق أحد الأهداف، تم تحميل برنامج نصي ضار من ملف wp3[.]xyz بإنشاء حساب المسؤول المارق wpx_admin مع بيانات الاعتماد المتاحة في التعليمات البرمجية.
المصدر: ج/الجانب
يتابع البرنامج النصي بعد ذلك تثبيت مكون إضافي ضار (plugin.php) تم تنزيله من نفس النطاق، ويقوم بتنشيطه على موقع الويب المخترق.
وفق”https://cside.dev/blog/over-5k-wordpress-sites-caught-in-wp3xyz-malware-attack” الهدف=”_blank” rel=”nofollow noopener”>ج/سيد، الغرض من المكون الإضافي هو جمع البيانات الحساسة، مثل بيانات اعتماد المسؤول والسجلات، وإرسالها إلى خادم المهاجم بطريقة مبهمة تجعلها تظهر كطلب صورة.
يتضمن الهجوم أيضًا العديد من خطوات التحقق، مثل تسجيل حالة العملية بعد إنشاء حساب المسؤول المارق والتحقق من تثبيت البرنامج الإضافي الضار.
صد الهجمات
يوصي c/side أصحاب مواقع الويب بحظر ملف “wp3[.]xyz باستخدام جدران الحماية وأدوات الأمان.
علاوة على ذلك، يجب على المسؤولين مراجعة الحسابات المميزة الأخرى وقائمة المكونات الإضافية المثبتة لتحديد الأنشطة غير المصرح بها وإزالتها في أقرب وقت ممكن.
أخيرًا، يوصى بتعزيز حماية CSRF على مواقع WordPress من خلال إنشاء رمز مميز فريد، والتحقق من جانب الخادم، والتجديد الدوري. يجب أن يكون للرموز وقت انتهاء صلاحية قصير للحد من فترة صلاحيتها.
يؤدي تنفيذ المصادقة متعددة العوامل أيضًا إلى إضافة الحماية للحسابات التي تحتوي على بيانات اعتماد تم اختراقها بالفعل.