به گزارش مردم فردا،به گزارش وبسایت BleepingComputer، در مجموع 40 قالب و 53 پلاگین متعلق به وبسایت AccessPress در این حمله تغییر پیدا کردند. مهاجمان ظاهرا یک در پشتی PHP را به این ابزارها اضافه کردهاند تا به وبسایتهای وردپرسی بیشتری دسترسی داشته باشند.
شیوه کار مهاجمان به این صورت برنامهریزی شده که پس از نصب یکی از این قالبها یا پلاگینها، فایل جدیدی به نام initial.php به فهرست اصلی قالبهای وردپرس اضافه میشود و درون آن یک فایل functions.php وجود دارد. این فایل دارای کدهایی است که در پشتی را درون فایل vars.php جایگذاری میکند. با این کار مهاجم میتواند از راه دور به وبسایت قربانی دسترسی داشته باشد.
در پشتی سایتهای وردپرس احتمالا در دارک وب فروخته میشود
تنها راه شناسایی این حمله استفاده از ابزارهای نظارت بر یکپارچگی فایلهاست، چون بدافزار هکرها فایل initial.php را حذف میکند تا رد خود را از بین ببرد. بررسیها نشان داده که مهاجمان از این در پشتی برای انتقال کاربران به سایتهای مجهز به بدافزار و کلاهبرداری استفاده میکنند. همچنین این احتمال وجود دارد که هکرها دسترسی به در پشتی این سایتها را در دارک وب بفروشند.
با توجه به اطلاعاتی که در فایلها ثبت شده، این حمله احتمالا در ماه سپتامبر آغاز شده. وبسایت AccessPress در اواسط ماه اکتبر افزونهها را از پرتال دانلود خود حذف کرد تا مشکل را برطرف کند. این وبسایت حالا همین چند روز پیش نسخههای سالم افزونهها را یک بار دیگر برای دانلود در دسترس قرار داده است. با این حال، کاربرانی که درگیر این مشکل هستند، باید بهسرعت نسخههای قدیمی قالبها و افزونههای خود را با نسخههای جدید و سالم آنها جایگزین کنند. فهرست کامل فایلهای آلوده در این لینک قابل مشاهده است.