Meer dan 1.000 websites aangedreven door WordPress zijn besmet met een JavaScript-code van derden die vier afzonderlijke backdoors injecteert.
“Het creëren van vier backdoors faciliteert de aanvallers met meerdere re-entry mogen worden gedetecteerd en verwijderd,” zei C/Side-onderzoeker Himanshu Anand in een analyse van woensdag.
De kwaadwillende JavaScript -code is gebleken via cdn.csyndication (.) Com. Vanaf schrijven bevatten websites van 908 verwijzingen naar het betreffende domein.
De functies van de vier achterdeuren worden hieronder uitgelegd –
- Backdoor 1, die een nep-plug-in uploadt en installeert met de naam “Ultra SEO-processor”, die vervolgens wordt gebruikt om opdrachten uit aanvallers uit te voeren
- Backdoor 2, die kwaadaardig JavaScript injecteert in WP-Config.php
- Backdoor 3, die een door aanvallers gecontroleerde SSH-toets toevoegt aan het ~/.ssh/geautoriseerde_keys-bestand om aanhoudende externe toegang tot de machine mogelijk te maken
- Backdoor 4, die is ontworpen om externe commando’s uit te voeren en een andere lading van gsocket (.) Io op te halen om waarschijnlijk een omgekeerde shell te openen
Om het risico van de aanvallen te verminderen, wordt geadviseerd dat gebruikers ongeautoriseerde SSH -toetsen verwijderen, WordPress -admin -referenties roteren en systeemlogboeken bewaken voor verdachte activiteiten.
De ontwikkeling komt als het cybersecuritybedrijf dat een andere malware-campagne heeft gedetailleerd, meer dan 35.000 websites met kwaadaardig JavaScript heeft aangetast die “het browservenster van de gebruiker volledig kapen” om sitebezoekers om te leiden naar Chinees-taal gokplatforms.
“De aanval lijkt zich te richten of afkomstig te zijn van regio’s waar Mandarijn gebruikelijk is, en de uiteindelijke bestemmingspagina’s presenteren gokinhoud onder het merk ‘Kaiyun’.
De omleiding vindt plaats via JavaScript gehost op vijf verschillende domeinen, die dient als een lader voor de belangrijkste lading die verantwoordelijk is voor het uitvoeren van de omleidingen –
- mlbetjs (.) com
- ptfafajs (.) com
- zuizhongjs (.) com
- jbwzzzjs (.) com
- jpbkte (.) com
De bevindingen volgen ook een nieuw rapport van Group-Ib over een dreigingsacteur nagesynchroniseerd Screamedjungle Dat injecteert een JavaScript-code-genoemde Bablosoft JS in gecompromitteerde Magento-websites om vingerafdrukken van bezoekende gebruikers te verzamelen. Men denkt dat meer dan 115 e-commerce sites tot op heden worden getroffen.
Het geïnjecteerde script is “onderdeel van de Bablosoft BrowaTomationStudio (BAS) Suite”, zei het Singaporese bedrijf, het toevoegen van “bevat verschillende andere functies om informatie te verzamelen over het systeem en de browser van gebruikers die de gecompromitteerde website bezoeken.”
Er wordt gezegd dat de aanvallers bekende kwetsbaarheden exploiteren die kwetsbare magento-versies beïnvloeden (bijv. CVE-2024-34102 aka Cosmicsting en CVE-2024-20720) om de websites te overtreden. De financieel gemotiveerde dreigingsacteur werd eind mei 2024 voor het eerst ontdekt in het wild.
“Browser vingerafdrukken is een krachtige techniek die vaak door websites wordt gebruikt om gebruikersactiviteiten te volgen en marketingstrategieën af te passen,” zei Group-IB. “Deze informatie wordt echter ook door cybercriminelen benut om legitiem gebruikersgedrag na te bootsen, beveiligingsmaatregelen te ontwijken en frauduleuze activiteiten uit te voeren.”
