Επιθέσεις σε ιστοσελίδες από κακόβουλο λογισμικό τύπoυ ad-scam

Τον τελευταίο μήνα πολλοί ιστότοποι κατασκευασμένοι στο πλέον δημοφιλές WORDPRESS δέχτηκαν επίθεση από έναν ιό τύπου ad-scam malware.Μάλιστα ο συγκεκριμένος ιός εξαπλώθηκε πολύ γρήγορα μέσω των επισκεπτών των ιστοσελίδων μολύνοντας τα  αρχεία Javascript του ιστότοπου και προκαλώντας τη διακοπή της φόρτωσης του στο browser προβάλλοντας το μήνυμα που βλέπουμε παραπάνω.

Σύμφωνα με τον ερευνητή πιθανών απειλών και επιθέσεων της Sucuri, Denis Sinegubko, ο συγκεκριμένος ιός-διαφημιστική απάτη επηρεάζει τους ιστότοπους μέσω backdoor injection διαφόρων scripts τα οποία συνεχώς μολύνουν τα αρχεία του website ακόμη και μετά τον καθαρισμό τους!!!

sucuri-logo

Μέσα στον τελευταίο μήνα παρατηρήθηκε, κατά τον Sinegubko, ραγδαία αύξηση στις μολύνσεις κατά τις οποίες επιτήδειοι δημιουργοί προγραμμάτων ιών κατάφεραν να ενσωματώσουν κρυπτογραφημένο κώδικα στο τέλος όλων των αρχείων .js ενός WordPress website.Το συγκεκριμένο στέλεχος του κακόβουλου κώδικα δημιουργεί τρύπες ασφάλειας σε όλο το web server και ανανεώνει τη μόλυνση κάθε 24 ώρες.

Αυτός είναι και ο λόγος για τον οποίο πολλοί διαχειριστές ιστότοπων αντιμετωπίζουν επαναληπτικές μολύνσεις αφού έχουν καθαρίσει τα αρχεία του ιστότοπού τους από τον ιό.Ακόμη πιο σημαντικό είναι ότι το συγκεκριμένο κακόβουλο script μολύνει όλα τα προσβάσιμα αρχεία τύπου Javascript που θα βρεί σε έναν server μέσω ενός διαφημιστικού cookie το οποίο εγκαθιστά κρυφά iframes μέσα στις ιστοσελίδες.

Συχνό φαινόμενο είναι να μολυνθούν πάνω από ένα website σε κάθε hosting λογαριασμό πάνω στο server, γνωστό και ως cross-site contamination.

Ενέργειες για την αντιμετώπιση της μόλυνσης ανά ιστότοπο

  • Απομόνωση του κάθε website που βρίσκεται στο μολυσμένο Server

  • Υποχρεωτική ανανέωση όλων των πρόσθετων και της έκδοσης του WORDPRESS

  • Επανεγκατάσταση του ενεργού theme για το WordPress

  • Αφαίρεση του ιού από κάθε αρχείο .js χειροκίνητα

Τέλος, εκτός από τον πονοκέφαλο που προκαλεί ο συγκεκριμένος ιός στους κατασκευαστές και διαχειριστές ιστοσελίδων υπάρχει και μία άλλη λεπτομέρεια αρκετά σημαντική την οποία πρέπει να έχουν υπόψη τους οι web developers αλλά και οι πάροχοι φιλοξενίας ιστοσελίδων :

Ο συγκεκριμένος ιός χρησιμοποιεί την τεχνική απόκρυψης domain (Domain Shadowing), μια ιδιαίτερα αγαπητή τεχνική των VΧers (προγραμματιστών που δημιουργούν ιούς) για την προσθήκη κακόβουλων υπο-τομέων ονομάτων (malicious subdomains) σε επίπεδο δευτερευόντων ονομάτων χώρου πάνω στους Server αφού πρώτα έχει αποκτηθεί πρόσβαση στις εγγραφές DNS πάνω στο server.