Otkrivene su tisuće WordPress, Joomla i Drupal dodataka koji su sadržavali “gateway” koji bi omogućio pristup bez znanja korisnika. Pristupom lažnim web-stranicama koje su sličile izvornim, korisnik Interneta je na svom web-mjestu zapravo preuzimao i instalirao datoteke sa zlonamjernim softverom. Postupak masovnih postupaka vjerojatno je trajao od rujna 2013. godine.
Incident je slučajno izbio na vidjelo. Nizozemska internetska tvrtka otkrila je sumnjivi Joomla plugin na nekoj od svojih web stranica. Dijelio je izvješće koje možete pregledati here. Izvor instalacije doveo je do web-lokacije s popisom piratskih tema i dodataka. Nitko od njih nije došao od izvornog izdavača (Joomla Service Provider). Svaki od njih je opisan kao “nulled” – uklonjeni “povratni poziv” dopušten je zaobilaženje kontrole zakonitosti dodatka. Dok je detaljnije pregledavanje svih sadržaja objavljenih na piratskim stranicama, pokazalo se da svaki dodatak, tema i proširenje sadrže istu ranjivost stvorenu za kasniju upotrebu.
Skripta je nazvana “CryptoPHP”. Svrha zlonamjernog softvera je sudjelovanje u SEO-u Black-Hat ubrizgavanjem veza koje se odnose na druge web-adrese u sadržaj bezazlenih web-lokacija vlasnika. RSA šifriranje štiti komunikaciju s C2 poslužiteljima. Ovo je klasični botnet. Napadač ima mnogo mogućnosti – naša stranica se može koristiti na bilo koji način. Od slanja neželjene pošte, distribucije zlonamjernog softvera, prikazivanja vlastitih oglasa do preusmjeravanja naših korisnika na druge web-lokacije. Skripta ima opciju ažuriranja. Identificirano je nekoliko verzija – prva od njih (0.1) uvedena je 25. rujna 2013. Verzija 1.0 izdana je 12. studenog. Napad je bio povezan s moldavskom IP, dok su se poslužitelji C2 nalazili u Nizozemskoj, NjemačkVerzija 1.0 izdana je 12. studenog. oj, SAD i Poljska.
Web stranice kojima prijeti skriptama procjenjuju se na najmanje nekoliko tisuća. Ako ste instalirali dodatke iz nepouzdanog izvora, problem će vjerojatno utjecati na vas. Jedino učinkovito rješenje je ponovno instalirati sve od početka bez zaraženih dodataka.
- Zašto je “tehnička domena” dobro rješenje? - 18 veljače, 2020
- Opasna ranjivost u dodatku WP GDPR Compliance - 10 studenoga, 2018
- Koristite li dodatak za duplikat? Svakako ga pročitajte! - 8 listopada, 2018