Bezpečnostní společnost c/side odhalila, že za útokem stojí rozsáhlá infrastruktura využívající přes 10 000 kompromitovaných domén. Podle jejich analýzy hackeři nahrávají škodlivý kód do zastaralých instalací WordPressu – buď skrze známé bezpečnostní díry v pluginech, nebo vyloženě nahrazují některé kritické soubory (například `functions.php` v šablonách). Tímto způsobem vloží do kódu napadeného webu tzv. „redirect“ skript, který přesměrovává návštěvníky na falešnou stránku vyzývající k aktualizaci prohlížeče.
c/side navíc zjistila, že celé schéma funguje i díky technikám, které mají maximalizovat šanci, že návštěvník žádost o „aktualizaci“ neodmítne. Například se využívají user agent filtry, aby se cílili jen na určitý typ zařízení (Windows nebo Mac) a každý návštěvník dostal odpovídající verzi malwaru.
Domény a distribuce
Vyšetřování ukazuje, že hackeři využívají množství zahraničních domén, na které se návštěvníci neviditelně přesměrují. c/side při takzvaném reverse DNS lookupu narazila na stovky IP adres, na nichž běžely desítky až stovky dalších napadených webů. Tato robustní infrastruktura dává útočníkům možnost útok efektivně škálovat.
Jak útok probíhá?
Celá akce je jako dobře promyšlená past. Jakmile se uživatel dostane na napadený web, objeví se mu falešná stránka vyzývající k aktualizaci prohlížeče Chrome. Vše vypadá důvěryhodně, ale jakmile nic netušící uživatel stáhne a spustí tuto „aktualizaci“, jeho počítač se nakazí škodlivým softwarem.
A co je na tom nejhorší? Tato kampaň není ojedinělá. Podle bezpečnostní společnosti c/side už hackeři infikovali přes 10 000 webů po celém světě.
Jaké viry se šíří?
Na napadených stránkách se šíří dva typy nebezpečných programů:
- Amos (Atomic Stealer) – specialista na útoky proti uživatelům macOS, který se zaměřuje na krádež hesel, cookies a kryptoměnových peněženek.
- SocGholish – cílí na Windows a instaluje další škodlivý software.
Co je na tom ještě děsivější? Amos se prodává jako „malware-as-a-service“ – což znamená, že kdokoli si ho může koupit a začít šířit. Hlavní výhodou pro útočníky je, že nemusí vyvíjet vlastní škodlivý kód, jen si ho pořídí, nainstalují a rozjedou svou vlastní malwarovou kampaň.
Technická stránka útoku
Podle c/side výzkumníků se do kódu infikovaných webů vkládají JavaScriptové soubory, které:
- Vyhodnocují uživatelův operační systém (Windows, Mac či jiné systémy).
- Podle OS servírují různé binární soubory (případně dmg na macOS, exe na Windows).
- Používají filtry prohlížeče (user agent check), aby se zvýšila úspěšnost infekce.
Administrátoři některých kompromitovaných webů pozdě odhalili, že záškodníci dokonce upravili klíčové WordPress soubory nebo zneužili známé zranitelnosti pluginů.
Jak se bránit?
Pokud se nechcete stát obětí tohoto útoku, držte se těchto zásad:
- Aktualizujte WordPress a jeho pluginy – hackeři využívají bezpečnostní mezery v zastaralých verzích.
- Nevěřte falešným aktualizacím – Chrome i ostatní běžné prohlížeče se aktualizují samy na pozadí.
- Používejte silná hesla a dvoufázové ověření – hackeři milují slabá hesla, která prolomí během pár vteřin.
- Nestahujte neznámé soubory – jakmile narazíte na podezřelou výzvu k instalaci nebo aktualizaci, zastavte se a ověřte její pravost.
- Pravidelně zálohujte – v případě napadení se vám budou hodit čisté zálohy webu (včetně databáze).
Buďte v obraze
Tento útok je další připomínkou, jak důležité je chránit své digitální prostředí. V minulosti už například hackeři díky ukradeným heslům napadli velké firmy jako Snowflake a způsobili tak milionové škody. Mít WordPress pod kontrolou znamená pravidelně ho udržovat aktualizovaný, prověřovat jeho bezpečnost (například přes pluginy zaměřené na bezpečnost) a sledovat dění ve světě kyberbezpečnosti.
Buďte proto obezřetní a nenechte se nachytat!
