Hakovano više od 6000 WordPress sajtova koji sada prikazuju lažna upozorenja iza kojih se kriju malveri

Vesti, 23.10.2024, 13:00 PM

Hakovano više od 6000 WordPress sajtova koji sada prikazuju lažna upozorenja iza kojih se kriju malveri

Više od 6.000 WordPress sajtova je hakovano a napadači su instalirali zlonamerne dodatke (plugin) koji prikazuju lažna obaveštenja o ažuriranju pretraživača, upozorio je GoDaddy.

„Tim GoDaddy Security prati novu varijantu ClickFix (poznatog i kao ClearFake) malvera koji se distribuira preko lažnih WordPress dodataka“, rekao je istraživač bezbednosti GoDaddyja Denis Sinegubko.

Od 2023. kampanja pod nazivom ClearFake koristi se za prikazivanje lažnih banera za ažuriranje veb pretraživača na kompromitovanim veb sajtovima koji distribuiraju malvere za krađu informacija. U ovoj kampanji kompromitovano je više od 25000 sajtova.

2024. godine primećena je nova kampanja pod nazivom ClickFix koja ima mnogo sličnosti sa ClearFake, ali se umesto banera o ažuriranju veb pregledača žrtvama prikazuje poruka o grešci u softveru za koju se nude ispravke. Međutim, ove „ispravke“ su skripte koje će, kada se izvrše, preuzeti i instalirati malver koji krade informacije.

ClickFix kampanje postale su sve učestalije ove godine, a hakeri kompromituju sajtove na kojima se potom prikazuju baneri koji prikazuju lažne poruke o greškama za Google Chrome, Google Meet, Facebook, pa čak i captcha stranice.

Malveri za krađu informacija koji se isporučuju žrtvama ovih napada su veliki problem jer se lozinke koje ukradu ovakvi malveri koriste za nove napade i krađu podataka.

Kada je reč o kampanji na koju je upozorio GoDaddy, „naizgled legitimni WordPress dodaci su dizajnirani da izgledaju bezopasno administratorima veb sajtova, ali sadrže ugrađene zlonamerne skripte koje krajnjim korisnicima isporučuju lažne upite za ažuriranje pretraživača.“

Ova tehnika koristi strategije društvenog inženjeringa kako bi prevarila korisnike da pokrenu zlonamerni kod, i tako kompromituju svoje sisteme raznim vrstama malvera i kradljivaca informacija.

Za lažne pluginove se koriste imena slična legitimnim WordPress dodacima, kao što su Wordfense Security i LiteSpeed Cache, ili generička, izmišljena imena.

Hakeri koriste ukradene administratorske lozinke da bi se prijavili na WordPress sajt i instalirali dodatak koji ubacuje JavaScript koji prikazuje korisnicima lažna obaveštenja o ažuriranju veb pregledača koja žrtve vode do instalacije malvera na njihovim računarima. Obično su u pitanju trojanci za daljinski pristup ili info stealeri kao što je Vidar ili Lumma.

Nejasno je kako napadači dolaze do lozinki, ali to bi mogle biti lozinke ukradene prilikom ranijih napada napada grubom silom, phishinga i malvera za krađu informacija.

Ako koristite WordPress i imate problem sa lažnim upozorenjima koja se prikazuju posetiocima, trebalo bi da odmah pregledate listu instaliranih dodataka i uklonite sve koje niste sami instalirali. Ako pronađete nepoznate dodatke, trebalo bi da odmah resetujete lozinke za sve administratore.

Foto: WebFactory Ltd | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Istraživači kompanije Group-IB otkrili su novi macOS malver pod nazivom ClickLock Stealer, koji za kompromitovanje uređaja ne koristi ranjivosti op... Dalje

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje