Cyberprzestępcy przechwytują blogi WordPressa do dystrybucji rootkita TDSS
- IDG News Service,
- miw,
- 01.02.2012, godz. 12:42
Hakerzy wstrzykują złośliwy kod do serwisów pracujących pod WordPressem 3.2.1. Luka w oprogramowaniu Java powoduje pobranie przez komputery ofiar rootkita TDSS.
Polecamy:
- Wpadki, błędy i ataki - kronika bezpieczeństwa IT 2011
- Szyfrowanie smartfonów można złamać - wystarczy zwykłe radio
Pobierz:
Na razie nie wiadomo w jaki sposób strony są atakowane, ale znane są publicznie eksploity na tę wersję (zaznaczmy, że nieaktualną - najnowsza ma numer 3.3.1). Platforma Wordpress wykorzystywana jest nie tylko przez blogerów ale często także przez firmy, które opierają na nim swoje serwisy internetowe.
Zobacz również:
Rezultatem skutecznego ataku jest wstrzyknięcie złośliwego kodu JavaScript powodującego ściągnięcie przez przeglądarkę ofiary eksploitu z innego serwera.
Ponieważ akcja infekowania stron jest masowa, zadaniem specjalistów Websense za atakiem tym stoi ktoś doświadczony w tej dziedzinie. Wykorzystywana luka w Javie znana jest pod oznaczeniem CVE-2011-3544 i pozwala na zdalne uruchomienie kodu. W tym przypadku atakujący umieszczają z jej pomocą rootkita TDSS.
"TDSS jest jednym z najlepiej ukrywających się spośród znanych rootkitów. Jego zadaniem jest uzyskanie pełnej kontroli nad zainfekowaną maszyną i wykorzystywania jej jako zombie w ramach botnetu".
Specjaliści Websense nie są pewni czy ten masowy atak korzysta ze zaktualizowanego toolkitu czy całkowicie nowego, ale eksperci z M86 Security również zaobserwowali ataki na Wordpressa 3.2.1 i wiążą je z narzędziem Phoenix Exploit Kit.
Zdaniem Daniela Chechika z M86, cyberprzestępcy stojący za tym atakiem wabią ofiary na zainfekowane strony rozsyłając spam zawierający linki do nich. Fakt, że linki te prowadzą do blogów o dobrej reputacji pozwala na ominięcie zabezpieczeń antyspamowych blokujących linki o złej reputacji.
Nie wiadomo czy ataki odkryte przez M86 Secutity i Websense pochodzą z tego samego źródła, ale ponieważ dotyczą tej samej wersji Wordpressa, webmasterzy powinni jak najszybciej zatroszczyć się o aktualizacje do najnowszej wersji (3.3.1), użytkownicy powinni zaś upewnić się czy mają zaktualizowany system operacyjny, przeglądarkę i wtyczki do nich.