Peretas mengeksploitasi versi WordPress dan plug-in yang sudah ketinggalan zaman untuk mengubah ribuan situs web dalam upaya untuk menipu pengunjung untuk mengunduh dan menginstal malware, peneliti keamanan telah menemukan.
Kampanye peretasan masih “sangat hidup,” Simon Wijckmans, pendiri dan CEO perusahaan keamanan web C/Side, yang menemukan serangan itu, mengatakan kepada TechCrunch pada hari Selasa.
Tujuan peretas adalah menyebarkan malware yang mampu mencuri kata sandi dan informasi pribadi lainnya dari pengguna Windows dan Mac. Beberapa situs web yang diretas berada di peringkat di antara situs paling populer di internet, menurut C/Side.
“Ini adalah serangan yang tersebar luas dan sangat dikomersialkan,” Himanshu Anand, yang menulis Menambah temuan perusahaankepada TechCrunch. Anand mengatakan kampanye ini adalah serangan “semprotan dan bayar” yang bertujuan untuk mengkompromikan siapa pun yang mengunjungi situs web ini daripada menargetkan orang atau sekelompok orang tertentu.
Ketika situs WordPress yang diretas dimuat di browser pengguna, konten dengan cepat berubah untuk menampilkan halaman pembaruan browser chrome palsu, meminta pengunjung situs web mengunduh dan menginstal pembaruan untuk melihat situs web, para peneliti menemukan. Jika pengunjung menerima pembaruan, situs web yang diretas akan meminta pengunjung untuk mengunduh file jahat tertentu yang menyamar sebagai pembaruan, tergantung pada apakah pengunjung ada di PC Windows atau Mac.
Wijckmans mengatakan bahwa mereka memberi tahu Otomatis, perusahaan yang mengembangkan dan mendistribusikan WordPress.com, tentang kampanye peretasan dan mengirimi mereka daftar domain jahat, dan bahwa kontak mereka di perusahaan mengakui penerimaan email mereka.
Ketika dihubungi oleh TechCrunch sebelum publikasi, Megan Fox, juru bicara AutoTTik, tidak berkomentar.
C/Side mengatakan mengidentifikasi lebih dari 10.000 situs web yang tampaknya telah dikompromikan sebagai bagian dari kampanye peretasan ini. Wijckmans mengatakan perusahaan mendeteksi skrip jahat di beberapa domain dengan merangkak internet, dan melakukan pencarian DNS terbalik, teknik untuk menemukan domain dan situs web yang terkait dengan alamat IP tertentu, yang mengungkapkan lebih banyak domain yang menampung skrip jahat.
TechCrunch tidak dapat mengkonfirmasi keakuratan angka C/Side, tetapi kami melihat satu situs web WordPress yang diretas yang masih menampilkan konten jahat pada hari Selasa.
Dari wordpress ke infostealing malware
Dua jenis malware yang didorong pada situs web jahat dikenal sebagai AMOS (atau AMOS Atomic Stealer), yang menargetkan pengguna MacOS; dan Socgholish, yang menargetkan pengguna Windows.
Pada Mei 2023, perusahaan cybersecurity Sentinelone menerbitkan laporan Pada Amos, mengklasifikasikan malware sebagai infostealer, jenis malware yang dirancang untuk menginfeksi komputer dan mencuri sebanyak mungkin nama pengguna dan kata sandi, cookie sesi, dompet crypto, dan data sensitif lainnya yang memungkinkan peretas untuk masuk ke akun korban lebih jauh dan mencuri mereka mata uang digital. Firma cybersecurity Cyble melaporkan Pada saat itu menemukan bahwa peretas menjual akses ke malware Amos di telegram.
Patrick Wardle, seorang ahli keamanan macOS dan salah satu pendiri startup cybersecurity yang berfokus pada Apple, DoubleYou, mengatakan kepada TechCrunch bahwa Amos adalah “secara pasti pencuri yang paling produktif di macOS,” dan diciptakan dengan model bisnis malware-as-a-service, yang berarti, artinya, artinya, artinya, sebagai malware-as-a-service, artinya, sebagai pelayanan, artinya, malwarware-as-a-service, Pengembang dan pemilik malware menjualnya kepada peretas yang kemudian menggunakannya.
Wardle juga mencatat bahwa bagi seseorang untuk berhasil menginstal pada macOS file jahat yang ditemukan oleh C/SIDE “Pengguna masih harus kemudian menjalankannya secara manual, dan melompati banyak lingkaran untuk memotong keamanan bawaan Apple.”
Meskipun ini mungkin bukan kampanye peretasan paling canggih, mengingat bahwa peretas mengandalkan target mereka untuk jatuh ke halaman pembaruan palsu dan kemudian menginstal malware, ini adalah pengingat yang baik untuk memperbarui browser chrome Anda melalui fitur pembaruan perangkat lunak yang dibangun dan untuk menginstal hanya aplikasi tepercaya di perangkat pribadi Anda.
Malware mencuri kata sandi dan pencurian kredensial telah disalahkan atas beberapa peretasan terbesar dan pelanggaran data dalam sejarah. Pada tahun 2024, peretas merosot secara massal akun raksasa perusahaan yang meng-host data sensitif mereka dengan cloud computing raksasa salju dengan menggunakan kata sandi yang dicuri dari komputer karyawan pelanggan Snowflake.
