کارشناسان اخیرا اعلام کردند که بدافزار جدیدی در قالب یک افزونه وردپرس کشف شده است که سایت های وردپرس را هدف قرار می دهد و به مهاجم اجازه می دهد با ایجاد یک حساب کاربری با سطح دسترسی مدیر، فعالیت های سایت را کنترل کند.
به گزارش ای بی اس نیوز، Back Door نوعی بدافزار یا آسیب پذیری امنیتی است که به هکرها امکان دسترسی به سیستم های کاربران را می دهد. در این روش هکرها با دور زدن مکانیسم های امنیتی به سیستم کاربران دسترسی غیرمجاز پیدا می کنند به طوری که کاربران حتی متوجه نفوذ هکر نمی شوند زیرا در پس زمینه سیستم کاربران فعالیت می کنند که این امر برای کاربران عادی دشوار است. برای شناسایی آنها .
در واقع این بدافزارها به هکرها اجازه می دهند تا وارد سیستم کاربران شده و اطلاعات آنها را به روش های مختلف دستکاری کنند. هکرها معمولاً از بدافزار برای کنترل سیستم های کاربر استفاده می کنند. آنها می توانند اطلاعات شخصی کاربران را بدزدند یا از راه دور دستکاری کنند.
اخیرا بدافزار جدیدی در قالب یک افزونه وردپرس کشف شده است که سایت های وردپرس را هدف قرار می دهد و به مهاجم اجازه می دهد تا با ایجاد یک حساب کاربری با سطح دسترسی مدیر، فعالیت های سایت را کنترل کند. گفته میشود که این بدافزار یک درب پشتی با عملکردهای مختلف است که به مهاجم اجازه میدهد افزونهها را مدیریت کرده و در میان افزونههای فعال وبسایت در معرض خطر پنهان شود و محتوای مورد نظر را جایگزین کند یا برخی از کاربران را به صفحات مخرب هدایت کند.
تحلیلگران Defiant در ماه جولای هنگام بررسی یک وب سایت وردپرس، این بدافزار را کشف کردند. تحقیقات بیشتر نشان داد که این بدافزار خود را به عنوان یک ابزار ذخیره سازی پنهان برای کمک به کاهش بار سرور و بهبود زمان بارگذاری صفحه پنهان می کند. همانطور که قبلا ذکر شد، این افزونه مخرب خود را از لیست “افزونه های فعال” پنهان می کند تا از بررسی های امنیتی عبور کند. افزونه مذکور دارای ویژگی های زیر می باشد.
ایجاد کاربر: با استفاده از یک تابع، کاربری با نام “superadmin” و رمز عبور سخت با سطح دسترسی مدیر ایجاد می کند، این بدافزار پس از انجام عملیات مخرب، کاربر superadmin را از طریق عملکرد دیگری حذف می کند.
شناسایی ربات: هنگامی که بازدیدکنندگان سایت به عنوان ربات شناسایی می شوند، بدافزار محتوای مختلفی از جمله هرزنامه را به آنها ارائه می دهد تا سایت را در معرض خطر محتوای مخرب قرار دهد، که باعث می شود مدیر سایت متوجه افزایش ناگهانی ترافیک و/یا دریافت گزارش های شکایت در مورد هدایت مجدد کاربران شود. به صفحات مخرب
جایگزینی محتوا: بدافزار مذکور میتواند پستها و محتوای صفحه را اصلاح کند و لینکهای هرزنامه را درج کند و در نهایت محتوای ویرایش نشده را در اختیار مدیر سایت قرار دهد تا روند بررسی از طرف آنها به تاخیر بیفتد.
کنترل پلاگین: اپراتورهای این بدافزار قادر خواهند بود افزونه های وردپرس مورد علاقه خود را از راه دور در سایت مورد نظر فعال یا غیرفعال کنند و در نهایت آثار خود را از پایگاه داده سایت پاک کنند تا فعالیت های آن مخفی بماند.
تماس از راه دور: این درپشتی به مهاجمان این امکان را می دهد که از راه دور عملکردهای مخرب را با تأیید کاربران خاص فعال کنند.
به گفته محققان، به طور کلی، قابلیت های ذکر شده به مهاجم این امکان را می دهد که کنترل کامل سایت را از راه دور در دست بگیرد و در نتیجه کسب درآمد کند. به گفته تحلیلگران Defiant، در حال حاضر هیچ جزئیاتی در مورد تعداد وب سایت هایی که توسط این بدافزار مخرب در معرض خطر قرار گرفته اند وجود ندارد. به طور کلی می توان گفت که روش های معمول برای به خطر انداختن یک وب سایت توسط مهاجمان، سرقت اطلاعات ورود به سیستم و مجوزهای دسترسی کاربر، تغییر یا اختصاص رمز عبور یا سوء استفاده از یک آسیب پذیری در قالب یک افزونه است.
کارشناسان مرکز مدیریت و هماهنگی واکنش حوادث رایانه ای توصیه می کنند که Defiant یک امضای تشخیص نسخه رایگان Wordfence را برای کاربران خود منتشر کند و یک قانون فایروال را برای محافظت از کاربران Premium، مراقبت و پاسخ در برابر حملات درب پشتی اضافه کند. لازم به ذکر است که مدیران وب سایت باید از اطلاعات ورود قوی و منحصر به فرد برای ایجاد حساب کاربری، به روز رسانی افزونه های آنها و حذف افزونه های استفاده نشده استفاده کنند.
لازم به ذکر است که در سال های نه چندان دور این مرکز یک بدافزار جدید در پشتی که شرکت های مخابراتی در خاورمیانه را هدف قرار می دهد. با توجه به جزئیات این بدافزار، گزارش شده است که ارائه دهندگان خدمات مخابراتی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به نام ShroudedSnooper هستند که از یک درب پشتی مخفی به نام HTTPSnoop استفاده می کند. سیسکو تالو در گزارشی که بر روی دستگاه آلوده اجرا شده، گفت HTTPSnoop یک در پشتی ساده اما مؤثر است که از تکنیکهای نوآورانه برای تعامل با درایورهای هسته و دستگاههایی که از HTTP برای گوش دادن به درخواستهای دریافتی برای URLهای خاص HTTP(S) و استخراج محتوای مرتبط استفاده میکنند، استفاده میکند. .
بخشی از جعبه ابزار تهاجمی این گروه PipeSnoop نیز نامیده می شود که می تواند کد پوسته خود ایجاد شده را از طریق یک لوله نامگذاری شده دریافت کرده و آن را روی یک ماشین آلوده اجرا کند.
انتهای پیام
