WordPress Steam-malwarekampagnen har inficeret næsten 2.000 websites ved at misbruge Steam Community-profiler til at skjule skadelige payloads. Forskere opdagede, at angriberne brugte usynlige tegn i offentlige Steam-profiler til at sende kommandoer til kompromitterede WordPress-sider.
Kampagnen skiller sig ud, fordi den undgår traditionel command-and-control-infrastruktur. I stedet for at bruge mistænkelige domæner eller dedikerede servere henter malwaren skjulte instruktioner fra en legitim gamingplatform. Metoden får den skadelige trafik til at ligne normal internetaktivitet og gør den vanskeligere at opdage.
Forskere mener, at operationen afspejler en voksende tendens, hvor angribere skjuler malwarekommunikation i legitime onlinetjenester.
Angribere skjulte payloads i Steam-profiler
Sikkerhedsforskere opdagede, at malwaren forbinder til bestemte Steam Community-profiler og læser skjulte data gemt i profilindholdet. Angriberne brugte usynlige Unicode-tegn til at skjule kodede payloads uden at få teksten til at virke mistænkelig.
Når payloaden dekodes, genererer den skadelige instruktioner til det inficerede WordPress-website. Malwaren injicerer derefter farlig JavaScript-kode på siderne og kan omdirigere besøgende til uønsket indhold eller yderligere skadelig infrastruktur.
Fordi Steam er en legitim og troværdig platform, er det mindre sandsynligt, at sikkerhedsværktøjer straks markerer forbindelserne som farlige. Metoden hjælper angriberne med at undgå automatiserede sikkerhedssystemer, der fokuserer på mistænkelige domæner eller kendte malware-servere.
Teknikken giver også angriberne større fleksibilitet. De kan opdatere payloads direkte gennem ændringer i Steam-profiler uden at ændre malwaren, der allerede er installeret på de kompromitterede websites.
Malwaren indeholdt en skjult bagdør
Forskere identificerede også en skjult PHP-bagdør i de inficerede WordPress-miljøer. Bagdøren gør det muligt for angriberne at udføre kommandoer eksternt og bevare langvarig adgang til kompromitterede websites.
Denne adgang giver trusselsaktørerne omfattende kontrol over de inficerede systemer. Angriberne kan installere yderligere malware, ændre WordPress-filer, manipulere plugins eller bruge websites i fremtidige kampagner.
Malwaren anvendte desuden flere obfuskeringsmetoder for at gøre analyse vanskeligere og reducere risikoen for opdagelse. Forskerne observerede tilfældige variabelnavne, kodede payloads og flerlags-eksekveringsmetoder, der gjorde manuel gennemgang mere kompliceret.
Teknikkerne tyder på, at operatørerne ønskede at holde infektionerne aktive i længere tid uden at tiltrække opmærksomhed.
Forskere undersøger fortsat den oprindelige adgang
Forskerne har endnu ikke bekræftet præcist, hvordan angriberne først kompromitterede de berørte WordPress-sites. Flere almindelige angrebsveje er dog stadig mulige.
Mulige indgangspunkter inkluderer forældede plugins, sårbare temaer, stjålne administratoroplysninger eller dårligt sikrede hostingmiljøer. WordPress-websites bliver ofte mål, når ejere udsætter opdateringer eller beholder gamle udvidelser, der ikke længere understøttes.
Kampagnens omfang tyder også på, at angriberne sandsynligvis brugte automatiseret scanning og udnyttelse for hurtigt at identificere sårbare websites.
Forskere fortsætter nu med at analysere indikatorer knyttet til operationen for bedre at forstå infrastrukturen og angrebskæden bag kampagnen.
Websiteejere bør gennemgå WordPress-sikkerheden
Sikkerhedseksperter anbefaler, at WordPress-administratorer undersøger websites for tegn på kompromittering. Mistænkelige henvisninger til Steam Community-URL’er, uventede JavaScript-injektioner, ændrede PHP-filer og usædvanlig udgående trafik kan indikere infektion.
Administratorer bør også:
- Opdatere WordPress-kernen
- Fjerne ubrugte plugins og temaer
- Nulstille administratoradgangskoder
- Aktivere multifaktorgodkendelse
- Gennemgå serverlogs for mistænkelig aktivitet
- Gendanne rene backups, hvis kompromittering bekræftes
Regelmæssig vedligeholdelse er fortsat en af de mest effektive måder at reducere sikkerhedsrisici i WordPress-miljøer på.
Konklusion
WordPress Steam-malwarekampagnen viser, hvordan cyberkriminelle fortsætter med at udvikle nye teknikker for at undgå opdagelse og bevare adgang til kompromitterede websites. Ved at skjule skadelige payloads i Steam Community-profiler kunne angriberne undgå traditionel malwareinfrastruktur og få trafikken til at fremstå legitim.
Kampagnen understreger også de fortsatte sikkerhedsrisici ved forældede eller dårligt sikrede WordPress-miljøer. Websiteejere bør overvåge deres systemer regelmæssigt, installere opdateringer hurtigt og undersøge mistænkelig aktivitet, før angribere opnår vedvarende adgang.


0 svar til “WordPress Steam-malwarekampagne har inficeret næsten 2.000 websites”