⭕مهاجمان در حملهای عظیم به یک مرجع دانلود، 93 قالب و پلاگین وردپرس را به در پشتی آلوده کردند. این اقدام با هدف ایجاد دسترسی کامل به وبسایتهای وردپرسی انجام شد. گفته میشود که این قالبها و پلاگینها در بیش از 36 هزار سایت فعال در حال استفاده هستند.
🔻به گزارش وبسایت BleepingComputer، در مجموع 40 قالب و 53 پلاگین متعلق به وبسایت AccessPress در این حمله تغییر پیدا کردند. مهاجمان ظاهرا یک در پشتی PHP را به این ابزارها اضافه کردهاند تا به وبسایتهای وردپرسی بیشتری دسترسی داشته باشند.
🔻شیوه کار مهاجمان به این صورت برنامهریزی شده که پس از نصب یکی از این قالبها یا پلاگینها، فایل جدیدی به نام initial.php به فهرست اصلی قالبهای وردپرس اضافه میشود و درون آن یک فایل functions.php وجود دارد. این فایل دارای کدهایی است که در پشتی را درون فایل vars.php جایگذاری میکند. با این کار مهاجم میتواند از راه دور به وبسایت قربانی دسترسی داشته باشد.
🔻تنها راه شناسایی این حمله استفاده از ابزارهای نظارت بر یکپارچگی فایلهاست، چون بدافزار هکرها فایل initial.php را حذف میکند تا رد خود را از بین ببرد. بررسیها نشان داده که مهاجمان از این در پشتی برای انتقال کاربران به سایتهای مجهز به بدافزار و کلاهبرداری استفاده میکنند. همچنین این احتمال وجود دارد که هکرها دسترسی به در پشتی این سایتها را در دارک وب بفروشند.
