آلوده سازی وردپرس با بات

تاریخ انتشار : ۲۵ فروردين ۱۳۹۵

شبکه بات گمرو، وب‌سایت‌های وردپرس را سرقت کرده و برای حمله‌های فیشینگ خود استفاده می‌کند.

به گزارش گرداب، شبکه بات گمرو (Gamarue) از سال 2011 مشغول به فعالیت است و اولین بار در بازارهای زیرزمینی شناسایی شد. این شبکه بات، ماژولار نوشته‌شده است و توانایی انتشار هر نوع بدافزار را دارد. در این سال‌ها نیز همواره در حال تکامل بوده و تاکنون نیز نتوانسته‌اند آن را متوقف کنند.

بر اساس گزارش محققان امنیتی، افرادی که پشت این شبکه قرار دارند در طول سال‌های فعالیت خود، از انتشار فایل‌های اجرایی و روش‌های کلاسیک به روش‌های مدرن امروزی دست‌یافته‌اند. محققان امنیتی توانستند به یکی از سرورهای C&C این بات نفوذ کرده و اطلاعات سرقت شده شامل ایمیل، کوکی و حتی صفحه لاگین مدیریت ( شکل زیر) را به دست آورند. هم‌چنین آن‌ها توانستند ابزارهای معمول که اکثر هکرها استفاده می‌کنند را شناسایی کنند. هم‌چنین کدهای مخرب جاوا اسکریپت شناسایی شد که در کدهای اچ.تی.ام.ال (HTML) پنهان شده بودند تا در ایمیل‌های اسپم استفاده شوند.

 

پس از نفوذ به سرور، محققان امنیتی توانستند کدهای منبع استفاده‌شده در حمله‌های فیشینگ را شناسایی کنند که اکثر آن‌ها مربوط به مدیریت محتوای وردپرس می‌شدند. در شکل زیر لیست وب‌سایت‌های آلوده وردپرس نمایش داده شده است.