Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Cyberprzestępcy przechwytują blogi WordPressa do...

Cyberprzestępcy przechwytują blogi WordPressa do dystrybucji rootkita TDSS

Hakerzy wstrzykują złośliwy kod do serwisów pracujących pod WordPressem 3.2.1. Luka w oprogramowaniu Java powoduje pobranie przez komputery ofiar rootkita TDSS.

Zdaniem spcjalistów zajmującej się bezpieczeństwem internetu firmy Websense, hakerzy przechwytują blogi pracujące pod wersją 3.2.1 WordPressa. Zainfekowane blogi infekują czytelników uporczywym rootkitem TDSS.

Na razie nie wiadomo w jaki sposób strony są atakowane, ale znane są publicznie eksploity na tę wersję (zaznaczmy, że nieaktualną - najnowsza ma numer 3.3.1). Platforma Wordpress wykorzystywana jest nie tylko przez blogerów ale często także przez firmy, które opierają na nim swoje serwisy internetowe.

Zobacz również:

  • WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
  • Luka w zabezpieczeniach WordPress

Rezultatem skutecznego ataku jest wstrzyknięcie złośliwego kodu JavaScript powodującego ściągnięcie przez przeglądarkę ofiary eksploitu z innego serwera.

Ponieważ akcja infekowania stron jest masowa, zadaniem specjalistów Websense za atakiem tym stoi ktoś doświadczony w tej dziedzinie. Wykorzystywana luka w Javie znana jest pod oznaczeniem CVE-2011-3544 i pozwala na zdalne uruchomienie kodu. W tym przypadku atakujący umieszczają z jej pomocą rootkita TDSS.

"TDSS jest jednym z najlepiej ukrywających się spośród znanych rootkitów. Jego zadaniem jest uzyskanie pełnej kontroli nad zainfekowaną maszyną i wykorzystywania jej jako zombie w ramach botnetu".

Specjaliści Websense nie są pewni czy ten masowy atak korzysta ze zaktualizowanego toolkitu czy całkowicie nowego, ale eksperci z M86 Security również zaobserwowali ataki na Wordpressa 3.2.1 i wiążą je z narzędziem Phoenix Exploit Kit.

Zdaniem Daniela Chechika z M86, cyberprzestępcy stojący za tym atakiem wabią ofiary na zainfekowane strony rozsyłając spam zawierający linki do nich. Fakt, że linki te prowadzą do blogów o dobrej reputacji pozwala na ominięcie zabezpieczeń antyspamowych blokujących linki o złej reputacji.

Nie wiadomo czy ataki odkryte przez M86 Secutity i Websense pochodzą z tego samego źródła, ale ponieważ dotyczą tej samej wersji Wordpressa, webmasterzy powinni jak najszybciej zatroszczyć się o aktualizacje do najnowszej wersji (3.3.1), użytkownicy powinni zaś upewnić się czy mają zaktualizowany system operacyjny, przeglądarkę i wtyczki do nich.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas