بیش از ۱۴ هزار سایت وردپرسی با یک بدافزار جدید آلوده شدند

یک گروه هکری جدید با نام رمز UNC۵۱۴۲، با پیدا کردن نقاط ضعف امنیتی در وب‌سایت‌های وردپرسی، مانند افزونه‌ها یا قالب‌های قدیمی و به‌روزنشده، به آنها نفوذ کرده و بدافزار خود را نصب کرده‌اند. با توجه به اینکه وردپرس میزبان بیش از ۴۳ درصد از وب‌سایت‌های جهان است، چنین حمله‌ای می‌تواند امنیت بخش بزرگی از اینترنت را به خطر بیندازد.

بر اساس بررسی‌های فنی تیم اطلاعات تهدیدات گوگل، ویژگی منحصر‌به‌فرد این حمله، استفاده از تکنیکی به نام EtherHiding است. در این روش، هکر‌ها کد‌های مخرب خود را به طور مستقیم روی سایت قربانی قرار نمی‌دهند، بلکه آن را در یک شبکه عمومی بلاکچین، مانند زنجیره‌ی هوشمند BNB، مخفی می‌کنند. این کار مانند آن است که مجرم، ابزار جرم را به جای صحنه جنایت، در یک صندوق امانات عمومی دیجیتال پنهان کند که ردیابی و حذف آن را برای کارشناسان امنیتی بسیار دشوار می‌سازد.

روند آلوده شدن کاربران نهایی نیز با فریب و مهندسی اجتماعی همراه است. پس از آنکه یک سایت وردپرسی هک شد، بازدیدکنندگان آن به صفحات جعلی هدایت می‌شوند. در این صفحات، با پیامی هشداردهنده از کاربر خواسته می‌شود تا برای رفع یک مشکل فنی ساختگی، چند دستور را در کامپیوتر خود کپی و اجرا کند. کاربرانی که این دستورات را در بخش Run ویندوز یا Terminal مک وارد می‌کنند، ناخواسته در را برای ورود بدافزار به سیستم شخصی خود باز می‌کنند.

تیم امنیتی گوگل اعلام کرده که فعالیت‌های این گروه را از سال ۱۴۰۲ زیر نظر داشته و معتقد است انگیزه اصلی آنها مالی بوده است. با این حال، بخش مبهم ماجرا اینجاست که فعالیت این گروه از تیرماه ۱۴۰۴ به شکل ناگهانی متوقف شده است.

این توقف ناگهانی، دو احتمال را مطرح می‌کند؛ نخست اینکه هکر‌ها تصمیم گرفته‌اند به کار خود پایان دهند، یا شاید هم با تغییر روش‌های خود، هوشمندانه‌تر از قبل در حال پنهان شدن از چشم ناظران امنیتی هستند و حملات خود را در سکوت ادامه می‌دهند.