Bezpečnostní experti Denis Sinegubko a Adrian Stoian odhalili malware, který infikuje weby postavené na redakčním systému WordPress. Zatím ho zachytili na několika desítkách stránek s tím, že jde o falešný či modifikovaný plugin jQuery Migrate.
Infikované soubory mají názvy jquery-migrate.js a jquery-migrate.min.js a jsou uložené ve složkách, ve kterých se na webech s WordPressem běžně vyskytují JavaScripty. Ve skutečnosti jde ale o škodlivý kód, maskující se jako doplněk jQuery Migrate.
Malware útočí na WordPress
Odhalení škodlivého kódu nebylo pro odborníky na bezpečnost jednoduché. Infikované soubory totiž na napadených webech nahrazují původní legitimní soubory přítomné ve složce /wp-includes/js/jquery/, kde jsou běžně uložené soubory javascriptové knihovny jQuery.
Experti označují kód škodlivých souborů jako zmatený a uvádějí, že při jeho zpracování dochází k volání souboru analytics.js. Dosavadní výzkum ukázal, že infikovány byly desítky webů, nicméně celkový rozsah útoku je aktuálně nejasný.
Napříč svému názvu nemá soubor analytics.js nic společného s měřením návštěvnosti webových stránek. Analýza zdrojového kódu, kterou provedli odborníci z Bleeping Computer, odhalila odkazy na soubor /wp-admin/user-new.php, což je stránka, používaná pro vytváření nových uživatelů.
Záludné skripty
Kromě toho kód přistupuje k proměnné _wpnonce_create-user, kterou WordPress používá k ochraně proti podvržení požadavků mezi weby (CSRF). Obecně lze říci, že schopnost získat nebo nastavit tokeny CSRF by útočníkům poskytla možnost zasílat podvržené požadavky jménem uživatelů.
Vkládání takových skriptů na web s WordPressem umožňuje útočníkům realizovat celou řadu škodlivých aktivit. Mohou například získávat čísla kreditních karet z formulářů nebo přesměrovávat návštěvníky na podvodné weby.
Uživatelé mohou být přesměrováni na falešné dotazníky, podvodnou technickou podporu, mohou být požádáni, aby se přihlásili k odběru nevyžádaných zpráv nebo si stáhli škodlivé rozšíření webového prohlížeče. Přesměrování je zpravidla realizováno přes několik napadených stránek.
Antiviry mlčí
V zachycených případech například stránky opakovaně vyzývaly návštěvníky k povolení zobrazovat oznámení prohlížeče s vysvětlením, že se jedná o ověření, zda uživatel není robot. Další vedly na falešné průzkumy zaměřené na shromažďování osobních údajů.
Odborníci odeslali soubor analytics.js do webové antivirové služby VirusTotal. Ta testuje zaslané vzorky pomocí několika desítek antivirových programů. K jejich překvapení se ukázalo, že více než 90 % antivirů nepovažovalo tento soubor za škodlivý.
V tuto chvíli není známo, jak jsou tyto skripty injektovány nebo jak se dostávají na napadené servery. Pokud provozujete web na redakčním systému WordPress nebo populární doplňky v JavaScriptu, jako je jQuery Migrate, určitě je vhodné pravidelně provádět důkladné bezpečnostní audity a kontrolovat anomálie, které mohou naznačovat známky škodlivé aktivity.