Meer dan 100.000 WordPress-sites geïnfecteerd met malware

Google heeft 11.000 domeinen ontoegankelijk gemaakt nadat een malwarecampagne 100.000 sites besmette via het WordPress-CMS. Experts hebben kritiek op hoe de fout is aangepakt.

Nieuwe Russische malware heeft sinds dit weekend al zo’n honderdduizend WordPress-sites geïnfecteerd en de bijhorende blogs veranderd in hackwapens. Google heeft al zowat elfduizend domeinnamen geblokkeerd om de schade in te dijken.

De campagne werd ontdekt door het beveiligingsbedrijf Sucuri en Soaksoak genoemd, naar het eerste (Russische) domein waarnaar de malware verwijst. De aanval wordt uitgevoerd via de Revslider-plug-in voor WordPress.

revslider-install-2

Website-eigenaar weet van niks
“Het grootste probleem is dat Revslider een premiumplug-in is die je niet makkelijk kan upgraden en dat is een ramp voor sommige website-eigenaars”, schrijft Daniel Cid van Sucuri op de bedrijfsblog. “Sommigen weten zelfs niet dat ze hierover beschikken, omdat het gebundeld is in hun thema’s.”

Sucuri werd eind september op de hoogte gebracht van een serieuze kwetsbaarheid in de plug-in. Op dat ogenblik deden berichten over de fout al de ronde in bepaalde hackersforums.

“In dit geval heeft de ontwikkelaar van een populaire plug-in besloten om hier niets over te onthullen en in alle stilte alles te patchen”, schreef Cid destijds. “Let wel, deze kwetsbaarheid was al bekend als een zero day (nieuwe kwetsbaarheid waarvoor nog geen remedie bestaat, red.) in ondergrondse fora. Je zou denken dat dat de ontwikkelaar zou aanzetten om sneller te werken en hier mee naar buiten te komen. Maar neen, er werd een andere weg gekozen.”

 wordpress-malware

Zeer serieuze fout
Sinds mei dit jaar heeft Sucuri nog vier kritische kwetsbaarheden gevonden in WordPress-plug-ins, samen goed voor ruim 20 miljoen downloads. Het gaat om WPTouch, Disqus, All-in One SEO Pack en Mailpoet.

“Deze kwetsbaarheden staan bekend als een LFI of Local File Inclusion”, zegt Cid. “De aanvaller is daardoor in staat om lokale bestanden op een server in te kijken, aan te passen en te downloaden. Een zeer serieuze fout dus die eigenlijk onmiddellijk had aangepakt moeten worden.”

Sucuri heeft een gratis online scanner waarmee websitebeheerders hun webstek kunnen testen, maar vreest dat misschien wel honderdduizenden sites al besmet zijn.

Binnen enkele minuten weer besmet
Sommige gebruikers, die de malware opruimen, worden binnen enkele minuten opnieuw geïnfecteerd. Volgens Cid heeft dat veel te maken met de ingenieuze structuur van de payload van de besmetting en met het onvoldoende opschonen van de IT-systemen.

Een firewall kan het potentieel voor een aanval door de malware flink verminderen, aldus nog de veiligheidsexpert

Bron:

Wordt geen gehackte site!

ACM ontdekte het virus door informatie van computerbeveiligingsbureau Fox-IT. De toezichthouder doet momenteel zelf onderzoek naar de zaak. Volgens een zegsvrouw is het mogelijk dat een buitenlandse partij achter het virus zit.

Kies voor het origineel: http://www.antimalwarescan.nl

Gevaarlijke omleiding op videosite Dailymotion

Bezoekers van het populaire Dailymotion werden omgeleid naar een website waar de Sweet Orange Exploit Kit hun systeem probeerde te infecteren.

dailymotion-logo-malware-infectie.png

De populaire videowebsite Dailymotion is enkele dagen geleden gehackt. Dat weet beveiligingsspecialist Symantec. Surfers die de website probeerden te bezoeken werden omgeleid naar een andere website, waar de Sweet Orange Exploit Kit hen zat op te wachten. Die Exploit Kit is, zoals de naam al wel doet vermoeden, malware waarmee je systeem geïnfecteerd kan raken.

Hackers injecteerden een iframe (een soort HTML-code) in de website. Die code stuurde bezoekers naar de verwarrende landingspagina van de Sweet Orange Exploit Kit. Op die pagina zocht de Exploit Kit naar kwetsbaarheden in het systeem van de bezoeker. Sweet Orange is in staat bugs in Java, Internet Explorer en Flash Player uit te buiten. Wanneer de kit een open achterpoortje detecteert, wordt het systeem van de bezoeker besmet met een Trojaans paard.

Dat paard, een Trojan Adclicker, klikt in jouw plaats op advertenties. Zo moeten adverteerders betalen omdat er op hun advertenties geklikt wordt, ook al bezoekt in werkelijkheid niemand de advertentielinks. Intussen is de website van Dailymotion schoongemaakt en bestaat er geen gevaar meer voor infectie.

Zulke aanvallen van hackers kunnen in theorie overal voorkomen. Daarom is het belangrijk om steeds up-to-date software te gebruiken. Een exploitkit kan immers geen kwetsbaarheid vinden die er niet meer is.

Besmette banners Nu.nl

Afgelopen week werden ook enkele grote Nederlandse sites, waaronder Nu.nl en Voetbalzone.nl, slachtoffer van een aanval via besmette banners, die eveneens de Sweet Orange-kit gebruikte. Een externe advertentie-aanbieder had de advertenties verspreid.

Wordt geen gehackte site!

ACM ontdekte het virus door informatie van computerbeveiligingsbureau Fox-IT. De toezichthouder doet momenteel zelf onderzoek naar de zaak. Volgens een zegsvrouw is het mogelijk dat een buitenlandse partij achter het virus zit.

Kies voor het origineel: http://www.antimalwarescan.nl

Extra Flash-click Firefox helpt niet tegen malware

De extra muisklik die Firefox voor Flash Player, Java en andere plug-ins wil gaan verplichten, zal gebruikers niet tegen malware beschermen. De maatregel, die halverwege april werd aangekondigd, moet gebruikers tegen drive-by download-aanvallen beschermen. Volgens Mozilla zijn plug-ins de meest voorkomende oorzaak dat internetgebruikers met malware besmet raken.

Aanvallers kunnen via ongepatchte en verouderde plug-ins malware op de computer plaatsen, zonder dat hier verder enige interactie voor is vereist. Het bezoeken van een gehackte of kwaadaardige website volstaat. Door de plug-ins standaard uit te schakelen, zou de gebruiker bewust moeten klikken om de content op een pagina te zien. Het idee is dat als de gebruiker geen actieve content verwacht, hij ook niet op de knop zal klikken om verstopte kwaadaardige content te activeren.

Social engineering
Beveiligingsonderzoeker Dancho Danchev denkt dat de maatregel geen verschil zal maken en het infectieproces alleen vertraagt. “In de meeste gevallen, zijn drive-by malware-aanvallen voorzien van een social engineering onderdeel, in een poging om de kans op succes te vergroten.”

Cybercriminelen zouden daarbij de eindgebruiker via spannende video’s of andere content verleiden om op een link te klikken. Als een gebruiker al op de link in een e-mail of Facebook-bericht klikt, zal hij ook de extra muisklik van de Firefox ‘click-to-play’ feature uitvoeren.

“Zoals we in het verleden hebben gezien, zijn cybercriminelen meesters van social engineering, en zijn zeer succesvol in het nabootsen van bekende merken en producten.” Danchev denkt dat cybercriminelen dan ook snel de ‘click-to-play’ feature zullen nabootsen of advies aan gebruikers geven hoe ze de beloofde content toch kunnen bekijken.

Wordt geen gehackte site. Beveilig uw website of webwinkel met een Anti Malware Scan.

Kies voor het origineel: http://www.antimalwarescan.nl

Malware en hacks tijdens de Kerstdagen

De Kerst is een populaire tijd voor hackers en inbraken. Mensen zijn op vakantie en bedrijven kijken soms 14 dagen niet naar hun site vanwege de Kerstvakantie.

In de onderstaande afbeelding schets beveilgings bedrijf Symantec een duidelijk beeld:

Trust Seal Infographic

Trust Seal Infographic

Zorg voor een goede beveiliging met een betaalbare dagelijkse anti-malware scan.

www.antimalwarescan.nl