۲۰هزار وب‌سایت وردپرس از طریق تِم‌های دارای تروجان آلوده شده‌اند

به گزارش شرکت امنیت سایبری پریوایلیون (Prevailion)، یک پویش زنجیره‎ی تأمین فعال که از اواخر سال ۲۰۱۷ میلادی ادامه دارد، حداقل ۲۰هزار وب‌سایت را از طریق تِم‌ها و افزونه‌های مخرب وردپرس آلوده کرده است. این پویش با نام Labyrinth PHPs، از ۳۰ پلتفرم بازار اینترنتی مختلف وردپرس برای توزیع نسخه‌های آلوده به تروجان تِم‌های برتر استفاده کرده است. تمامی وب‌سایت‌های مشکوک از یک الگوی مشابه برخوردار بوده و به نظر می‌رسد که همه‌ی آن‌ها توسط یک عامل تهدیدکننده مدیریت می‌شوند.

به نظر می‌رسد اصلی‌ترین پلتفرمی که تِم‌های آلوده به تروجان را توزیع می‌کند، Vestathemes[dot]com باشد که ادعا می‌شود هزاران تِم و افزونه‌ی آلوده‌ی وردپرس را ارائه می‌دهد. درحالی‌که بیش از ۲۰هزار وب‌سایت آلوده در سراسر جهان کشف شده است، محققان پریوایلیون معتقدند که تعداد وب‌سایت‌های آلوده بسیار بیشتر بوده و حتی ممکن است به صدها هزار مورد نیز برسد.

پس از آپلودکردن یک تِم آلوده به تروجان توسط قربانی، مهاجم می‌تواند کنترل کامل سرور را به دست گرفته، حساب مدیریتی خود را اضافه کرده و ایمیل مدیر وب و هَش رمز عبور وردپرس را بازیابی کند. محققان خاطرنشان می‌كنند كه در بیشتر موارد، سرورهای آلوده به شبکه‌ی تبلیغاتی Propeller Ads اضافه شده‌اند كه مربوط به بدافزارها، كیت بهره‌برداری Fallout و سایر فعالیت‌های مخرب است.

تمامی تِم‌های آلوده به تروجان شامل فایل «class.theme-module.php» یا «class.plugin-modules.php» هستند که توسط مهاجمان اضافه می‌شود. این فایل می‌تواند نود (node) فرمان و کنترل (C&C) را به‌طور دوره‌ای تغییر داده، مرحله‌ی اول C&C را بازیابی و بازنویسی کرده و شناسایی‌ها را انجام دهد. سپس، این فایل حضور برخی فایل‌های خاص مانند post.php و wp-vcd.php را بررسی کرده و در صورت نیافتن، آن‌ها را ایجاد می‌کند. پس از ایجاد فایل wp-vcd.php جدید، فایل class.theme-module.php حذف می‌شود.

در ابتدا، مهاجم از CloudFlare استفاده می‌کرد، اما پس از حمله به وردپرس از دسامبر ۲۰۱۹ تا ژانویه‌ی ۲۰۲۰، تمامی وب‌سایت‌های خود را به یک آدرس IP واحد منتقل کرده است. این عامل تهدیدکننده همچنین کانال‌های ارتباطی ثانویه و سوم را نیز از وب‌سایت‌های آلوده حذف کرده است.

به گفته‌ی پریوایلیون، مهاجم از سرور C&C در مرحله‌ی اول برای اضافه‌کردن کد به فایل‌های موجود در سرورهای آلوده، اجرای فایل wp-vcd.php و دانلود کد اضافی استفاده می‌کند. این کد شامل یک کوکی پایدار (persistent cookie) است که برای بازدیدکنندگان وب‌سایت‌های گوگل (Google)، یاهو (Yahoo)، یاندکس (Yandex)، ام‌اس‌ان (MSN)، بایدو (Baidu)، بینگ (Bing) یا دابل‌کلیک (DoubleClick) سرویس داده شده است. بخش جدیدی از کدهای اضافه‌شده به function.php، همچنین اطلاعاتی مانند آدرس IP، شماره‌ی ربات، بسته و رشته‌ی عاملِ کاربر دستگاه را ارسال می‌کند.

محققان چندین دامنه‌ای را که در این کد به آن‌ها اشاره شده بود، شناسایی کرده‌اند، اما معتقدند که برخی از آن‌ها رله (relays) هستند. مهاجمان همچنین سعی داشتند با اجرای یک سری دستورات در دامنه‌های به‌خطرافتاده، مشخصات (پروفایل) بهینه‌سازی موتور جستجو (SEO) وب‌سایت‌های خود را بالا ببرند. در برخی نقاط، آن‌ها همچنین کد anti-adblocker را اضافه کرده و از سپتامبر سال ۲۰۱۹ میلادی از آن استفاده می‌کردند.

درحالی‌که قربانیان در سراسر جهان در بخش‌های مختلف شناسایی شده و اظهار می‌دارند که این یک حمله‌ی هدفمند نبوده است، محققان متوجه شده‌اند که کسب‌وکارهای کوچک و متوسط ​​بیش از یک پنجم سازمان‌های آسیب‌دیده را تشکیل می‌دهند. از جمله‌ی قربانیان این پویش، می‌توان به یک وب‌سایت غیرمتمرکز استخراج ارز دیجیتال، یک شرکت خریدوفروش سهام مستقر در ایالات متحده، یک بانک کوچک آمریکایی، یک سازمان پتروشیمی دولتی، یک شرکت بیمه‌ی آمریکایی، یک تولیدکننده‌ی بزرگ آمریکایی، یک سازمان ارائه‌دهنده‌ی راه‌حل‌های کارت پرداخت در آمریکا و یک سازمان خدمات فناوری اطلاعات در ایالات متحده اشاره کرد.

منبع