Hamis zsarolóvírus által sújtott WordPress-webhelyek

wordpress ransomware

A Sucurival dolgozó kutatók egy szokatlan és kissé vicces rosszindulatú kampányt észleltek. Számos WordPress-oldalt eltaláltak olyanok, amelyek csak vizuálisan hasonlítanak zsarolóprogramra.

A WordPress tulajdonosa egy riasztó oldallal találkozik, amelyen egy üres, fekete képernyő látható, félkövér piros szöveggel, amely arról tájékoztatja, hogy webhelyét titkosították. Ezt a hamis üzenetet a legmeggyőzőbb elem kíséri, amely a legális zsarolóvírusokban is nagyon gyakran megtalálható - egy lekettyuló időzítő.

Ennek a szokatlan támadásnak, amelynek az ijesztő üzeneten kívül nagyon kevés köze van a ransomware-hez, 0,1 Bitcoint kell fizetniük, vagy nagyjából 6000 dollár alatti összeget a mai árfolyamon. A szöveg szerint a rossz szereplők "visszaállításra" várják a kriptofizetést az adott pénztárcán.

Szerencsére mindenkinek, akit érint ez a furcsa támadás, ez a képernyő inkább egy füstfal, amelynek célja, hogy megzavarja és ráriasztja az áldozatot, hogy együtt játszanak.

A Sucuri azután kutatta a támadást, hogy a WordPress webhely tulajdonosa felvette velük a kapcsolatot, amikor megkapták a riasztó üzenetet. A számlálót megjelenítő oldalról kiderült, hogy egy egyszerű HTML fájl. A kutatócsoport a HTML-ben használt kódot az ijesztő üzenet generálásához "nagyon egyszerűnek" nevezte. A visszaszámláló sem kötődik egyetlen valódi zsarolóprogramhoz sem, és mindössze néhány tucat sor PHP-kód.

A biztonsági csapatnak csupán egy rossz beépülő modul eltávolítására volt szüksége ahhoz, hogy megtisztítsa az oldalt a hamis "fertőzéstől" és helyreállítsa a működőképes állapotot, mint hogy eltávolítsa az ijesztő, de hamis ransomware értesítést. Amint azonban a beépülő modult eltávolították, végrehajtott egy SQL-parancsot, amely végigment a WordPress webhely összes cikkén, és a „közzétett” cikkeket „null”-ként jelölte meg, ami 404-es hibát és hiányzó cikkeket okozott.

Ez az utolsó búcsúajándék a furcsa rosszindulatú kampánytól ugyanilyen hatástalan volt, mert egyetlen sornyi SQL-lel visszafordítható volt, és az összes cikket egy pillanat alatt vissza lehetett állítani.

Úgy tűnik, a fenyegetések szereplői lassan rájönnek, hogy nem kell bonyolult rakományokat kódolni, konfigurálni vagy felállítani a tényleges ransomware infrastruktúrát, amikor egy egyszerű ijesztgetés is gyakran ugyanolyan hatékony lehet. A társadalmi tervezés a félelemre és a nyomásra támaszkodik, és tekintettel a váltságdíjban kért szerény összegre, nehéz megmondani, hogy valójában hány webhely vetette alá magát és fizette ki a 0,1 Bitcoint.

November 18, 2021