Hackers misbruiken op dit moment verouderde WordPress-versies en -plugins om bezoekers van duizenden websites te verleiden malware te downloaden en te installeren. Hiervoor waarschuwt de Belgische securityspecialist C/side.
Volgens de securityexperts worden momenteel duizenden websites aangevallen om ze te kapen, zodat zij malware gaan verspreiden en bezoekers deze mogelijk downloaden en installeren. Vooral websites die draaien op verouderde versies van de populaire WordPress-software en/of gebruikmaken van verouderde plugins zijn een doelwit.
Aanvalsplan
Wanneer een gehackte WordPress-website in de browser van een gebruiker laadt, toont de inhoud snel een valse Chrome-updatepagina. Deze pagina vraagt de gebruiker een update van de browser te downloaden en te installeren om de website te kunnen bezoeken.
Als een gebruiker deze update uitvoert, verzoekt de website een specifiek kwaadaardig bestand te downloaden dat zich als de update voordoet. Dit is afhankelijk van of een Windows-pc of een Mac wordt gebruikt.
De verspreide malware betreft specifiek de SocGholish-malware, die zich op Windows-gebruikers richt, en de Amos (Amos Atomic Stealer)-malware voor macOS-gebruikers. Beide malwarevarianten zijn infostealers en richten zich onder andere op het stelen van gebruikersnamen, wachtwoorden, sessiecookies, crypto wallets en andere gevoelige data.
Duizenden websites gecompromitteerd
C/side beweert dat inmiddels meer dan 10.000 websites zijn gecompromitteerd, waaronder enkele zeer bekende. De Belgische securityspecialist geeft aan dat de malwarecampagne grootschalig is en dat het een zogenoemde ‘spray and pray’-aanval betreft. Dit betekent dat iedereen die de kwaadaardige websites bezoekt een doelwit is, en niet een specifieke groep eindgebruikers.
De onderzoekers ontdekten de kwaadaardige scripts op verschillende domeinen door het internet te ‘crawlen’. Vervolgens voerden zij een reverse DNS-lookup uit om domeinen te vinden die met een bepaald IP-adres zijn geassocieerd. Hierdoor ontdekten zij veel meer domeinen die met de kwaadaardige scripts waren besmet.
De securityspecialist heeft inmiddels de eigenaar van WordPress, Automattic, op de hoogte gesteld van de malwarecampagne en een lijst overhandigd van getroffen websites. De WordPress-eigenaar zou de ontvangst hiervan hebben bevestigd.