مهاجمان در موج جدیدی از حملات که از اواخر هفته گذشته شروع شده، نزدیک به 300 سایت WordPress را برای نمایش اعلانهای رمزگذاری جعلی هک کردهاند. مهاجمان در این حملات سعی دارند صاحبان سایت را فریب دهند تا 0.1 بیت کوین برای بازیابی فایلها بپردازند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، حملات مذکور مورد بررسی قرار گرفته است.
این درخواست باجخواهی همراه با یک تایمر شمارش معکوس ارائه میشود تا احساس فوریت را القاء کند و احتمالاً مدیر سایت را برای پرداخت باج دستپاچه کند. این در حالی است که مقدار باج 0.1 بیت کوین (تقریباً معادل 6.23.069 دلار) در مقایسه با آنچه که در حملات باجافزارهای شناختهشده و باسابقه میبینیم، چندان قابل توجه نیست، اما هنوز هم میتواند برای بسیاری از صاحبان سایتها مقدار قابل توجهی باشد.
ترفند مهاجمان سایتهای WordPress برای القاء وقوع حملات باجافزاری
این حملات توسط شرکت امنیت سایبری Sucuri بررسی شد. محققان Sucuri شروع به تحقیق در مورد سایت کردند و معلوم شد که هیچ چیزی رمزگذاری نشده است! آنها دریافتند که سایتها رمزگذاری نشدهاند، بلکه مهاجمان یک پلاگین (افزونه) نصبشده در WordPress را جهت نمایش یادداشت اطلاعیه باجگیری (Ransom Note) و شمارش معکوس تغییر دادهاند.
معمولاً وقتی باجافزار، فایلهای سایت را مورد رمزگذاری قرار میدهد، پسوند آنها را به lock. یا چیزی مشابه این تغییر میدهد و دیگر فایلهای رمزگذاریشده، قابل خواندن نمیباشند. اما در این حملات اینطور نیست. اخطار باج کاملاً ساختگی بود. هیچ فایلی رمزگذاری نشده بود! این یک صفحه HTML ساده بود که تنها توسط یک افزونه جعلی تولید شده بود و نه چیزی بیشتر.
برای تولید ساعت شمارش معکوس نیز از تعدادی اسکریپت PHP اولیه استفاده شده است.
برای حذف این آلودگی، تنها باید افزونه را از directoryوwp-content/plugins حذف نمود. با این حال، هنگام مراجعه به صفحه اصلی سایت، در همه صفحات و پستهای آنها، خطای Not Foundو404 مشاهده میشود. دلیل این امر آخرین قطعه از افزونه مخرب است، که در تصویر زیر نمایش داده شده است:
علاوه بر نمایش اطلاعیه باجگیری، مهاجمان با دستکاری یکی از دستورات اولیه SQL، یعنی با تغییر گزینه “Post_status“، تمام پستها و صفحات وبلاگ WordPress را از “publish” به “null” تغییر میدهند که منجر میشود آنها به وضعیت “منتشر نشده” بروند. با اعمال این تغییر، همه محتواها هنوز در پایگاه داده هستند، فقط قابل مشاهده نمیباشند! این در حالی است که مهاجمان با تغییر وضعیت صفحات سایت و انتشار اطلاعیه باجگیری، این را به قربانیان القاء کردهاند که سایت آنها رمزگذاری شده است.
دستور مذکور را میتوان با یک دستور SQL به آسانی همانند آنچه در زیر نمایش داده شده، معکوس کرد. با این کار هر محتوایی که در پایگاهداده به صورت null علامتگذاری شده است، به حالت قبل برگشته و منتشر میشود.
بنابراین با حذف افزونه و اجرای دستور بازنشر پستها و صفحات، سایت به وضعیت عادی خود برمیگردد.
پس از تحلیل بیشتر گزارشهای ترافیک شبکه، محققان Sucuri دریافتند که اولین نقطهای که آدرس IP مهاجمان در آن مشاهده میشود، پنل wp-admin است. این بدان معنی است که مهاجمان به عنوان سرپرست سایت از طریق اجرای حملات موسوم به Brute-Force یا بواسطه جستجو در بازارهای Dark Web جهت دستیابی به اطلاعات اصالتسنجی سرقت شده، در سایت وارد شدهاند.
به نظر میرسد این یک حمله انفرادی نبوده، بلکه به نظر میرسد بخشی از کارزاری گستردهتر باشد.
افزونهای که محققان Sucuri در این حملات مشاهده کردند، افزونه Directorist بوده که ابزاری برای ایجاد فهرستی در فهرستهای کسبوکار آنلاین (online business directories) موجود در سایتها میباشد.
محققان مذکور تقریباً 291 سایت را که تحت تأثیر این حملات قرار گرفته بودند، شناسایی کردهاند. سایتهای متاثر از این حمله در نشانی زیر، در موتور جستجوی Google، نشان داده شده است. بعضی از این سایتها، عملیات پاکسازی را انجام دادهاند، ولی در برخی دیگر هنوز اطلاعیههای باجگیری قابل نمایش است.
https://www.google.com/search?q=%E2%80%9CFOR+RESTORE+SEND+0.1+BITCOIN%E2%80%9D
به نقل از سایت اینترنتی BleepingComputer، همه سایتهایی که در نتایج جستجو نشانی بالا، مشاهده میشوند، با استناد به لینک زیر، از آدرس بیتکوین 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc استفاده میکنند که تاکنون هیچ باجی پرداخت نشده است.
https://www.blockchain.com/btc/address/3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc