Hiljade WordPress sajtova pogođene su široko rasprostranjenom kampanjom zlonamjernog softvera, kojom se kompromitovani sajtovi pretvaraju u instrumente za krađu kriptovaluta. Napadači koriste ranjivosti u zastarjelim WordPress pluginovima kako bi ubacili zlonamjerni JavaScript kod, pretvarajući pogođene stranice u alate za preusmjeravanje posjetilaca ka zlonamjernim web lokacijama koje pokušavaju da ukradu osjetljive podatke, uključujući kripto novčanike i login informacije.
Prema dostupnim informacijama, kampanja uključuje četiri povezane funkcionalnosti: krađu lozinki, prenamjenu saobraćaja, upućivanje na fišing stranice i umetanje backdoor-a radi trajne kontrole nad sajtovima. Cilj napadača je iskoristiti visoku posjećenost kompromitovanih sajtova kako bi povećali šanse za uspješne prevare nad krajnjim korisnicima.
U nekim slučajevima, zlonamjerni kod se koristi da se korisnici prevare da instaliraju lažne ekstenzije za pretraživače koje prikriveno šalju njihove podatke napadačima. Ove ekstenzije simuliraju poznate servise i kripto-novčanike, uključujući one koji podržavaju Bitcoin i druge digitalne valute. Takođe su primijećene domene koje izgledaju kao legitimne stranice kripto-mjenjačnica, kako bi korisnici lakše bili dovedeni u zabludu.
Analiza pokazuje i da su hakovani sajtovi iskorišteni za smještaj tzv. “rodphish” stranica – sofisticiranih fišing stranica koje ciljanjem korisnika mobilnog bankarstva i kripto-novčanika pokušavaju da pribave login podatke i dvofaktorske autentifikacione kodove.
Korisnicima WordPress sajtova savjetuje se da redovno ažuriraju pluginove, koriste sigurnosne dodatke i implementiraju višefaktorsku autentifikaciju kako bi umanjili rizik od kompromitacije. Takođe se preporučuje aktivno praćenje neuobičajene aktivnosti na sajtovima i provjera učestalih zahtjeva za preusmjeravanja.
Ovaj napad još jednom ukazuje na važnost sajber higijene u okruženju koje je sve više digitalizovano i povezano sa sektorom kriptovaluta.
