Više od 6.000 WordPress sajtova je hakovano a napadači su instalirali zlonamerne dodatke (plugin) koji prikazuju lažna obaveštenja o ažuriranju pretraživača, upozorio je GoDaddy.
„Tim GoDaddy Security prati novu varijantu ClickFix (poznatog i kao ClearFake) malvera koji se distribuira preko lažnih WordPress dodataka“, rekao je istraživač bezbednosti GoDaddyja Denis Sinegubko.
Od 2023. kampanja pod nazivom ClearFake koristi se za prikazivanje lažnih banera za ažuriranje veb pretraživača na kompromitovanim veb sajtovima koji distribuiraju malvere za krađu informacija. U ovoj kampanji kompromitovano je više od 25000 sajtova.
2024. godine primećena je nova kampanja pod nazivom ClickFix koja ima mnogo sličnosti sa ClearFake, ali se umesto banera o ažuriranju veb pregledača žrtvama prikazuje poruka o grešci u softveru za koju se nude ispravke. Međutim, ove „ispravke“ su skripte koje će, kada se izvrše, preuzeti i instalirati malver koji krade informacije.
ClickFix kampanje postale su sve učestalije ove godine, a hakeri kompromituju sajtove na kojima se potom prikazuju baneri koji prikazuju lažne poruke o greškama za Google Chrome, Google Meet, Facebook, pa čak i captcha stranice.
Malveri za krađu informacija koji se isporučuju žrtvama ovih napada su veliki problem jer se lozinke koje ukradu ovakvi malveri koriste za nove napade i krađu podataka.
Kada je reč o kampanji na koju je upozorio GoDaddy, „naizgled legitimni WordPress dodaci su dizajnirani da izgledaju bezopasno administratorima veb sajtova, ali sadrže ugrađene zlonamerne skripte koje krajnjim korisnicima isporučuju lažne upite za ažuriranje pretraživača.“
Ova tehnika koristi strategije društvenog inženjeringa kako bi prevarila korisnike da pokrenu zlonamerni kod, i tako kompromituju svoje sisteme raznim vrstama malvera i kradljivaca informacija.
Za lažne pluginove se koriste imena slična legitimnim WordPress dodacima, kao što su Wordfense Security i LiteSpeed Cache, ili generička, izmišljena imena.
Hakeri koriste ukradene administratorske lozinke da bi se prijavili na WordPress sajt i instalirali dodatak koji ubacuje JavaScript koji prikazuje korisnicima lažna obaveštenja o ažuriranju veb pregledača koja žrtve vode do instalacije malvera na njihovim računarima. Obično su u pitanju trojanci za daljinski pristup ili info stealeri kao što je Vidar ili Lumma.
Nejasno je kako napadači dolaze do lozinki, ali to bi mogle biti lozinke ukradene prilikom ranijih napada napada grubom silom, phishinga i malvera za krađu informacija.
Ako koristite WordPress i imate problem sa lažnim upozorenjima koja se prikazuju posetiocima, trebalo bi da odmah pregledate listu instaliranih dodataka i uklonite sve koje niste sami instalirali. Ako pronađete nepoznate dodatke, trebalo bi da odmah resetujete lozinke za sve administratore.
