Οι ερευνητές ασφάλειας από την εταιρεία Sucuri έχουν ανακαλύψει μια ενδιαφέρουσα διαδικτυακή επίθεση που απευθύνεται στους ιδιοκτήτες ιστοσελίδων WordPress.
Η επίθεση ξεκίνησε με μια απάτη μέσω email του WordPress που ενημερώνει τους δικαιούχους ότι έχουν “επιλεγεί” να λάβουν μέρος στο πρόγραμμα επιβράβευσης πελατών της εταιρείας. Δεδομένου ότι είναι ανάμεσα στους «μοναδικούς νικητές,» παίρνουν plugin All in One SEO Pack Pro δωρεάν.
Το αστείο της υπόθεση είναι ότι, ο σύνδεσμος λήψης που παρέχεται από το email δεν οδηγεί στην ιστοσελίδα του προγραμματιστή ή του WordPress Plugin Directory . Αντ’ αυτού, ανακατευθύνει τα θύματα σε μια παραβιασμένη ιστοσελίδα που έχει δημιουργηθεί για να φιλοξενήσει αυτό που φαίνεται ως το All in One SEO Pack Pro.
Το plugin που παραδίδεται στους χρήστες είναι μια τροποποιημένη έκδοση της νόμιμης εφαρμογής. Οι εγκληματίες του διαδικτύου έχουν τοποθετήσει ένα backdoor που τους δίνει πλήρη πρόσβαση στον μολυσμένο διακομιστή. Το backdoor έχει προστεθεί στο αρχείο που ονομάζεται aioseop_class.php.
Από τη στιγμή που θα τεθεί σε εφαρμογή, το κακόβουλο λογισμικό αντικαθιστά το υπάρχον αρχείο index.php με ένα που έχει σχεδιαστεί έτσι ώστε να εμφανίζει το κακόβουλο περιεχόμενο στους επισκέπτες της ιστοσελίδας. Οι χρήστες μπορούν να κατευθυνθούν σε ιστοσελίδες spam ή σε αυτούς που φιλοξενούν exploit kits.
Θα μπορούσε κανείς να σκεφτεί ότι οι ιδιοκτήτες των ιστοσελίδων WordPress δεν θα πέσουν θύματα ενός τέτοιου τεχνάσματος. Ωστόσο, η Sucuri λέει ότι έχουν καθοριστεί μια σειρά από ιστοσελίδες που είχε εγκατασταθεί το κακόβουλο plugin.
