De afgelopen weken hebben aanvallers meer dan 2600 unieke WordPress-sites gehackt en voorzien van kwaadaardige code die bezoekers met ransomware probeert te infecteren. De gehackte WordPress-sites draaien allemaal versie 4.2 van de software of ouder, zo meldt beveiligingsbedrijf Zscaler.
De aanval op de WordPress-sites bestaat uit verschillende stappen. Eerst wordt de website volledig overgenomen. Zo voegen de aanvallers een webshell toe en stelen de inloggegevens van de beheerder. Vervolgens wordt er een iframe aan de website toegevoegd die bezoekers van de WordPress-site ongemerkt een pagina met de Neutrino-exploitkit laat laden. De iframe-code wordt alleen aan gebruikers van Internet Explorer getoond. Via een cookie wordt voorkomen dat slachtoffers de iframe-code meerdere keren krijgen aangeboden.
Om gebruikers te infecteren maakt de Neutrino-exploitkit gebruik van een kwaadaardig Flash-bestand. In het geval Flash Player niet op de computer geïnstalleerd is wordt de gebruiker een oud Flash-installatiebestand aangeboden, waarna het kwaadaardige bestand wordt geladen. Hoe het installatiebestand precies wordt aangeboden laat Zscaler in de analyse van de aanval niet weten.
In het geval de aanval succesvol is wordt de CryptoWall-ransomware op de computer geinstalleerd. Deze ransomware versleutelt bestanden op de computer en vraagt gebruikers een bepaald bedrag voor het ontsleutelen. Volgens analist John Mancuso blijft WordPress een aantrekkelijk doelwit voor cybercriminelen. WordPress is een zeer populair gratis contentmanagementsysteem dat door meer dan 60 miljoen websites wordt gebruikt, waaronder zo'n 23% van de Top 10 miljoen websites op internet.
Deze posting is gelocked. Reageren is niet meer mogelijk.