Blogi na WordPressu pogost vektor napada
Matej Huš
10. avg 2011 ob 12:40:16
V zadnjem času med Googlovimi zadetki pri iskanju slik beležimo porast t. i. zastrupljenih rezultatov. Google se trudi in te strani sproti označuje, da uporabnikom odsvetuje njihov obisk, a še vedno je veliko na pogled običajnih slik, ki v resnici uporabne preusmerijo na škodljive strani. Način napada je preprost - zlikovci kompromitirajo legitimne strani, kjer je WordPress vodilna žrtev, na katere postavijo svoje PHP-skripte. Ko stran preiščejo Googlovi pajki, skripte to zaznajo in vračajo vsebino, ki se nato znajde v Googlovi bazi. Ko pa stran obišče končni uporabnik, ga s klikom na pomanjšano sličico (thumbnail) preusmeri na stran, od koder se naloži lažni antivirus (scareware).
Zanimivo je dejstvo, da je najbolj priljubljena stran WordPress. Denis Sinegubko je raziskal področje nekoliko podrobneje in naštel več kot štiri tisoč blogov na WordPressu, ki so podlegli. Vsi so kompromitirani na enak način, tako da jih ni težko prepoznati. Končni cilj je vrsta indijski domen .in, ki se periodično spreminjajo in na koncu kažejo na isti IP-naslov v Veliki Britaniji. S strani na tem naslovu obiskovalcu nato podtaknejo lažni antivirusni program, ki prikaže, kakor da je računalnik okužen in zahteva plačilo za odstranitev "virusov". Tako napadalci služijo.