Cybercriminelen maken momenteel misbruik van verouderde versies van WordPress en plug-ins om bezoekers van duizenden websites te misleiden tot het downloaden en installeren van malware. De Belgische beveiligingsspecialist C/side waarschuwt hiervoor.
Duizenden websites getroffen
Volgens beveiligingsexperts worden momenteel duizenden websites aangevallen. Hackers proberen deze sites over te nemen om malware te verspreiden, die bezoekers onbewust kunnen downloaden en installeren. Vooral websites die draaien op verouderde WordPress-versies of gebruikmaken van achterhaalde plug-ins lopen een verhoogd risico.
Aanvalsstrategie
Wanneer een gehackte WordPress-website wordt geladen in de browser van een gebruiker, verschijnt er direct een nagemaakte updatepagina van Google Chrome. Op deze pagina wordt de bezoeker gevraagd om een update van de browser te downloaden en te installeren om de website te kunnen bekijken.
Indien een gebruiker deze zogenaamde update uitvoert, wordt er een kwaadaardig bestand gedownload dat zich voordoet als de update. Dit bestand is afhankelijk van het besturingssysteem dat wordt gebruikt: Windows of macOS.
De malware die via deze methode wordt verspreid, omvat de SocGholish-malware, die specifiek gericht is op Windows-gebruikers, en de Amos Atomic Stealer (Amos) malware voor macOS. Beide varianten zijn ontworpen om gevoelige gegevens te stelen, zoals gebruikersnamen, wachtwoorden, sessiecookies, cryptowallets en andere vertrouwelijke informatie.
Grootschalige campagne
Volgens C/side zijn meer dan 10.000 websites, waaronder enkele zeer bekende, getroffen door deze aanval. De beveiligingsspecialist wijst erop dat het hier om een grootschalige campagne gaat, een zogeheten “spray and pray”-aanval. Dit betekent dat iedere bezoeker van de geïnfecteerde websites een potentieel doelwit is, en niet alleen een specifieke groep gebruikers.
De onderzoekers ontdekten de schadelijke scripts op meerdere domeinen door het internet systematisch te scannen. Vervolgens voerden ze een reverse DNS-opzoeking uit om gelinkte domeinen met hetzelfde IP-adres te vinden. Hierdoor werd duidelijk dat een aanzienlijk aantal websites besmet is met kwaadaardige scripts.
C/side heeft de eigenaar van WordPress, Automattic, op de hoogte gebracht van de malwarecampagne en een lijst met getroffen websites overhandigd. Automattic heeft naar verluidt de melding bevestigd en ontvangen.
