هکرها از صفحات جعلی DDoS وردپرس برای راه اندازی بدافزار استفاده می کنند

گزارش جدید نشان می‌دهد هکرها از طریق صفحات محافظتی جعلی Cloudflare Denial of Service (DDoS) به گسترش بدافزارهای خطرناک از طریق وب‌سایت‌های وردپرس فشار می‌آورند.

همانطور که توسط PCMag و Bleeping Computer گزارش شده است، وب سایت های مبتنی بر وردپرس توسط تهدیداتی مانند NetSupport RAT و اسب تروجان سرقت کننده رمز عبور (RaccoonStealer) در صورت نصب قربانیان هک می شوند.

شرکت امنیت سایبری Sucuri توضیح می دهد که چگونه هکرها به سایت های وردپرسی که فاقد پایه امنیتی قوی برای تزریق بارهای جاوا اسکریپت هستند نفوذ می کنند و به نوبه خود هشدارهای DDoS جعلی را برای محافظت از Cloudflare نشان می دهند.

هنگامی که شخصی از یکی از این سایت‌های در معرض خطر بازدید می‌کند، به آنها دستور می‌دهد تا به صورت فیزیکی روی دکمه‌ای کلیک کنند تا بررسی حفاظت DDoS را تأیید کنند. این اقدام یک فایل “security_install.iso” را در سیستم خود دانلود می کند.

از اینجا، دستورالعمل ها از شخص می خواهند که علاوه بر وارد کردن کد، فایل آلوده را که به عنوان برنامه ای به نام DDOS GUARD پنهان شده است، باز کند.

همچنین فایل دیگری به نام security_install.exe وجود دارد – یک میانبر ویندوز که دستور PowerShell را از طریق فایل debug.txt اجرا می کند. پس از باز شدن فایل، NetSupport RAT، یک تروجان محبوب دسترسی از راه دور، بر روی سیستم بارگذاری می شود. اسکریپت هایی که پس از دسترسی به رایانه اجرا می شوند، تروجان سرقت رمز عبور Raccoon Stealer را نیز نصب و اجرا می کنند.

Raccoon Stealer که ابتدا در مارس 2022 متوقف شد، در ژوئن با مجموعه ای از به روز رسانی ها بازگشت. پس از باز شدن موفقیت آمیز در سیستم قربانی، Raccoon 2.0 رمزهای عبور، کوکی ها، داده های تکمیل خودکار و داده های کارت اعتباری ذخیره شده و ذخیره شده در مرورگرهای وب را اسکن می کند. همچنین می تواند فایل ها را بدزدد و از دسکتاپ عکس بگیرد.

همانطور که Bleeping Computer اشاره کرد، صفحه‌های حفاظتی DDoS شروع به تبدیل شدن به یک هنجار کرده‌اند. هدف آنها محافظت از وب سایت ها در برابر ربات های مخربی است که می خواهند سرورهای خود را با پر کردن ترافیک آنها غیرفعال کنند. با این حال، به نظر می رسد که هکرها در حال حاضر روزنه ای برای استفاده از چنین صفحه نمایش هایی به عنوان پوششی برای انتشار بدافزارها پیدا کرده اند.

با در نظر گرفتن این موضوع، Sucuri به مدیران وردپرس توصیه می‌کند که به فایل‌های موضوعی خود نگاه کنند که در آن تهدیدها تلاش خود را متمرکز می‌کنند. همچنین وب سایت امنیتی تاکید می کند که فایل های ISO در صفحه های حفاظتی DDoS قرار نخواهند گرفت، بنابراین چنین چیزی را دانلود نکنید.

فعالیت‌های هک، بدافزار و باج‌افزار در سال 2022 رایج‌تر می‌شوند. برای مثال، طرح هک به‌عنوان یک سرویس، امکان سرقت داده‌های کاربر را با کمتر از 10 دلار ارائه می‌دهد. مانند همیشه، به یاد داشته باشید که رمزهای عبور خود را تقویت کنید و احراز هویت دو مرحله ای را در همه دستگاه ها و حساب های خود فعال کنید.

توصیه های سردبیران