سایت‌های WordPress، هدف حملات باج‌افزاری جعلی

مهاجمان در موج جدیدی از حملات که از اواخر هفته گذشته شروع شده، نزدیک به 300 سایت WordPress را برای نمایش اعلان‌های رمزگذاری جعلی هک کرده‌اند. مهاجمان در این حملات سعی دارند صاحبان سایت را فریب دهند تا 0.1 بیت کوین برای بازیابی فایل‌ها بپردازند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، حملات مذکور مورد بررسی قرار گرفته است.

این درخواست‌ باج‌خواهی همراه با یک تایمر شمارش معکوس ارائه می‌شود تا احساس فوریت را القاء کند و احتمالاً مدیر سایت را برای پرداخت باج دستپاچه کند. این در حالی است که مقدار باج 0.1 بیت کوین (تقریباً معادل 6.23.069 دلار) در مقایسه با آنچه که در حملات باج‌افزارهای شناخته‌شده و باسابقه می‌بینیم، چندان قابل توجه نیست، اما هنوز هم می‌تواند برای بسیاری از صاحبان سایت‌ها مقدار قابل توجهی باشد.

ترفند مهاجمان سایت‌های WordPress برای القاء وقوع حملات باج‌افزاری

این حملات توسط شرکت امنیت سایبری Sucuri بررسی شد. محققان Sucuri شروع به تحقیق در مورد سایت کردند و معلوم شد که هیچ چیزی رمزگذاری نشده است! آن‌ها دریافتند که سایت‌ها رمزگذاری نشده‌اند، بلکه مهاجمان یک پلاگین (افزونه) نصب‌شده در WordPress را جهت نمایش یادداشت اطلاعیه باج‌گیری (Ransom Note) و شمارش معکوس تغییر داده‌اند.

معمولاً وقتی باج‌افزار، فایل‌های ‌سایت را مورد رمزگذاری قرار می‌دهد، پسوند آن‌ها را به lock. یا چیزی مشابه این تغییر می‌دهد و دیگر فایل‌های رمزگذاری‌شده، قابل خواندن نمی‌باشند. اما در این حملات اینطور نیست. اخطار باج کاملاً ساختگی بود. هیچ فایلی رمزگذاری نشده بود! این یک صفحه HTML ساده بود که تنها توسط یک افزونه جعلی تولید شده بود و نه چیزی بیشتر.

برای تولید ساعت شمارش معکوس نیز از تعدادی اسکریپت PHP اولیه استفاده شده است.

برای حذف این آلودگی، تنها باید افزونه را از directoryوwp-content/plugins حذف نمود. با این حال، هنگام مراجعه به صفحه اصلی سایت، در همه صفحات و پست‌های آنها، خطای Not Foundو404 مشاهده می‌شود. دلیل این امر آخرین قطعه از افزونه مخرب است، که در تصویر زیر نمایش داده شده است:

علاوه بر نمایش اطلاعیه باج‌گیری، مهاجمان با دستکاری یکی از دستورات اولیه SQL، یعنی با تغییر گزینه “Post_status“، تمام پست‌ها و صفحات وبلاگ WordPress را از “publish” به “null” تغییر می‌دهند که منجر می‌شود آن‌ها به وضعیت “منتشر نشده” بروند. با اعمال این تغییر، همه محتواها هنوز در پایگاه داده هستند، فقط قابل مشاهده نمی‌باشند! این در حالی است که مهاجمان با تغییر وضعیت صفحات سایت و انتشار اطلاعیه باج‌گیری، این را به قربانیان القاء کرده‌اند که سایت آن‌ها رمزگذاری شده است.

دستور مذکور را می‌توان با یک دستور SQL به آسانی همانند آنچه در زیر نمایش داده شده، معکوس کرد. با این کار هر محتوایی که در پایگاه‌داده به صورت null علامت‌گذاری شده است، به حالت قبل برگشته و منتشر می‌شود.

بنابراین با حذف افزونه و اجرای دستور بازنشر پست‌ها و صفحات، سایت به وضعیت عادی خود برمی‌گردد.

پس از تحلیل بیشتر گزارش‌های ترافیک شبکه، محققان Sucuri دریافتند که اولین نقطه‌ای که آدرس IP مهاجمان در آن مشاهده می‌شود، پنل wp-admin  است. این بدان معنی است که مهاجمان به عنوان سرپرست سایت از طریق اجرای حملات موسوم به Brute-Force یا بواسطه جستجو در بازارهای Dark Web جهت دستیابی به اطلاعات اصالت‌سنجی سرقت شده، در سایت وارد شده‌اند.  

به نظر می‌رسد این یک حمله انفرادی نبوده، بلکه به نظر می‌رسد بخشی از کارزاری گسترده‌تر باشد.

افزونه‌ای که محققان Sucuri در این حملات مشاهده کردند، افزونه Directorist بوده که ابزاری برای ایجاد فهرستی در فهرست‌های کسب‌و‌کار آنلاین (online business directories) موجود در سایت‌ها می‌باشد.

محققان مذکور تقریباً 291 سایت را که تحت تأثیر این حملات قرار گرفته بودند، شناسایی کرده‌اند. سایت‌های متاثر از این حمله در نشانی زیر، در موتور جستجوی Google، نشان داده شده است. بعضی از این سایت‌ها، عملیات پاکسازی را انجام داده‌اند، ولی در برخی دیگر هنوز اطلاعیه‌های باج‌گیری قابل نمایش است.

https://www.google.com/search?q=%E2%80%9CFOR+RESTORE+SEND+0.1+BITCOIN%E2%80%9D

به نقل از سایت اینترنتی BleepingComputer، همه سایت‌هایی که در نتایج جستجو نشانی بالا، مشاهده می‌شوند، با استناد به لینک زیر، از آدرس بیت‌کوین 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc استفاده می‌کنند که تاکنون هیچ باجی پرداخت نشده است.

https://www.blockchain.com/btc/address/3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc