Ezernyi haszontalan árucikkel áraszthat el a vírus
Sokak kedvence a WordPress, amelynek segítségével akár nulla vagy minimális programozói és webdizájn tudás mellett is könnyen mutatós, sokfunkciós weboldalakat lehet létrehozni. Most több millió weboldal került veszélybe, egy új vírus ugyanis hamis webshopokat nyit a WordPress-alapú weboldalakon. A platform épp a népszerűségének köszönheti, hogy sokan támadják is. Egy sikeres akció nyomán tömegével eshetnek áldozatul a hasonló alapokra épített weboldalak.
A kártékony kód ezernyi haszontalan árucikkel árasztja el a megtámadott hely XML oldaltérképét, és ezáltal lerontja annak rangsorolását – tudtuk meg a Computerworld oldaláról.
Egy új kiberbűnözőkből álló csapat most ismét WordPress oldalakat támad, és a sikeres betörést követően rejtett webáruházakat nyit rajtuk, amelyek lerontják az eredeti weboldal keresési rangsorát és tartalmi megítélését. A támadásokat az Akamai biztonsági csapata szúrta ki egy sikeresen megtámadott és átalakított oldalon. A hackerek a példaként szolgáló esetben teljes kipróbálásos módszerrel szerezték meg a rendszergazda jelszavát, majd egy rosszindulatú kóddal egészítették ki a hely indexfájlját. Ennek a kártékony kódnak az elsőrendű feladata az, hogy proxyként működjön, és minden bejövő forgalmat egy távoli command-and-control (C&C) szerverre irányítson át, amit a hackerek kezelnek.
Ha ezek után valaki meglátogat egy ilyen meghekkelt WordPress helyet, azt a módosított oldal észrevétlenül átirányítja a vírus által megjelölt C&C szerverre. Amennyiben a felhasználó megfelel bizonyos feltételeknek, a C&C szerver utasítja a helyet, hogy egy olyan HTML fájllal válaszoljon, ami különböző silány árucikkeket jelenít meg, vagyis a meghekkelt hely egy hamis webshop kínálatával felel az eredeti bolté helyett. A hackerek ezenkívül olyan XML oldaltérképet is generálnak a meghekkelt WordPress helyekhez, amelyek a hamis online bolt bejegyzéseit tartalmazzák az eredetiével keverve, és ezeket kínálják fel a Google keresőmotorjának.
Az eljárás eredményeként a WorldPress hely kulcsszavai oda nem tartozó elemekkel hígulnak, ami lerontja a webhely úgynevezett keresőmotor találati oldal (search engine results page; SERP) rangsorolását. Ezáltal a weboldalak üzemeltetői hamarosan azt tapasztalhatják, hogy az oldalaikra jóval kevesebb látogató érkezik, hiszen a Google és egyéb keresők egyre és egyre hátrébb sorolják. A bűnözők célja feltehetőleg az, hogy később pénzt zsaroljanak ki a fertőzött webshopokból az elterelés megszüntetéséért.
Az új támadástípust az teszi különösen veszélyessé, hogy milliónyi nem frissített verziójú, valamint elavult pluginnel és gyenge hitelesítő adatokkal ellátott WordPress hely működik a neten.
A szakértők szerint a legjobb módszer az efféle támadások ellen az, ha magát a WordPress motort is folyamatosan a legújabb verzióra frissítjük, ahogy az elérhetővé válik, valamint az admin felületen belül is folyamatosan frissítjük a beépülő modulokat. És, nem érdemes a legegyszerűbb jelszót használni!
