بدافزار موجود در افزونه‌ی کپچای وردپرس، ۳۰۰ هزار وب‌سایت را تحت تاثیر قرار داد

 

خرید افزونه های محبوب و تزریق بدافزار در آن ها روندی است که به تازگی به طور گسترده توسط مهاجمان سایبری مورد استفاده قرار می گیرد. این اتفاق به تازگی با فروش افزونه ی معروف کپچای وردپرس رخ داده است و خریدار این افزونه، از آن برای دانلود و نصب درب پشتی استفاده کرده است. 


محققان اشاره کردند این افزونه با ۳۰۰ هزار دانلود فعال، در بازاری خارج از فروشگاه رسمی وردپرس در حال انتشار است. محققان پس از بررسی کد منبع افزونه‌ی کپچا متوجه وجود یک درب پشتی شدند. با استفاده از این بدافزار، مهاجمان می‌توانند به وب‌سایت‌های وردپرس بدون نیاز به احراز هویت، دسترسی مدیریتی داشته باشند. 


این افزونه طوری پیکربندی شده که یک نسخه‌ی جدید از درب پشتی را از آدرس https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php واکشی می‌کند و در این فرآیند از کاربر هیچ مجوزی درخواست نمی‌شود. این درب پشتی برای ایجاد یک نشست ورود برای مهاجم طراحی شده است که دارای امتیازات سطح بالا نیز خواهد بود. مهاجم با استفاده از این افزونه و بدون نیاز به انجام احراز هویت، می‌تواند به هریک از ۳۰۰ هزار وب‌سایتی که تحت تاثیر قرار گرفته‌اند دسترسی داشته باشد. هنوز هدف مهاجم از نصب این درب پشتی مشخص نشده است ولی وقتی فردی هزینه‌ای را برای خرید یک افزونه‌ی محبوب پرداخت می‌کند مسلما اهداف و انگیزه‌هایی پشت این کار وجود دارد.


محققان به دنبال شناسایی خریدار افزونه بوده‌ و متوجه شدند درب پشتی که این افزونه دانلود می‌کند بر روی دامنه‌ی simplywordpress[dot]net میزبانی می‌شود و توسط فردی با نام Stacy Wellington و آدرس ایمیل scwellington[at]hotmail.co.uk ثبت شده است. با اجرای جستجوی whois معکوس محققان متوجه شدند که دامنه‌های متعدد دیگری نیز با نام این فرد ثبت شده است.


 نکته‌ی جالبی که وجود دارد این است که تمامی این دامنه‌ها برای میزبانی کدهای درب پشتی رزرو شده‌اند. وردپرس به همراه محققان امنیتی در تلاش است تا نسخه‌های تحت تاثیر قرار گرفته را وصله کرده و نگذارد نویسنده این افزونه را به‌روزرسانی کند. بنابراین به مدیران وب‌سایت‌ها اکیدا توصیه می‌شود تا افزونه‌ی کپچای خود را به نسخه‌ی قانونی و رسمی ۴.۴.۵ به‌روزرسانی کنند. 
 

منبع

پست‌های مشابه

Leave a Comment