WordPress Steam-skadevarekampanjen har infisert nesten 2 000 nettsteder ved å misbruke Steam Community-profiler for å skjule skadelige payloads. Forskere oppdaget at angriperne brukte usynlige tegn i offentlige Steam-profiler for å sende kommandoer til kompromitterte WordPress-nettsteder.
Kampanjen skiller seg ut fordi den unngår tradisjonell command-and-control-infrastruktur. I stedet for å bruke mistenkelige domener eller dedikerte servere henter skadevaren skjulte instruksjoner fra en legitim spillplattform. Denne metoden gjør at den skadelige trafikken smelter inn i vanlig internettaktivitet og blir vanskeligere å oppdage.
Forskere mener operasjonen gjenspeiler en voksende trend der angripere skjuler skadelig kommunikasjon inne i legitime nettjenester.
Angripere skjulte payloads i Steam-profiler
Sikkerhetsforskere oppdaget at skadevaren kobler seg til spesifikke Steam Community-profiler og leser skjult data lagret i profilinnholdet. Angriperne brukte usynlige Unicode-tegn for å skjule kodede payloads uten at teksten så mistenkelig ut.
Når payloaden dekodes, genererer den skadelige instruksjoner for det infiserte WordPress-nettstedet. Skadevaren injiserer deretter farlig JavaScript-kode på sidene og kan omdirigere besøkende til uønsket innhold eller ytterligere skadelig infrastruktur.
Fordi Steam er en legitim og pålitelig plattform, er det mindre sannsynlig at sikkerhetsverktøy umiddelbart markerer forbindelsene som farlige. Metoden hjelper angriperne med å unngå automatiserte sikkerhetssystemer som fokuserer på mistenkelige domener eller kjente malware-servere.
Teknikken gir også angriperne større fleksibilitet. De kan oppdatere payloads direkte gjennom endringer i Steam-profiler uten å måtte endre skadevaren som allerede er installert på de kompromitterte nettstedene.
Skadevaren inneholdt en skjult bakdør
Forskere identifiserte også en skjult PHP-bakdør i de infiserte WordPress-miljøene. Bakdøren gjør det mulig for angriperne å kjøre kommandoer eksternt og opprettholde langvarig tilgang til kompromitterte nettsteder.
Denne tilgangen gir trusselaktørene omfattende kontroll over de infiserte systemene. Angriperne kan installere ytterligere malware, endre WordPress-filer, manipulere plugins eller bruke nettstedene i fremtidige angrep.
Skadevaren brukte dessuten flere obfuskeringsmetoder for å gjøre analyse vanskeligere og redusere risikoen for oppdagelse. Forskerne observerte tilfeldige variabelnavn, kodede payloads og flerlags utførelsesmetoder som kompliserte manuell gransking.
Teknikkene tyder på at operatørene ønsket å holde infeksjonene aktive over lengre tid uten å tiltrekke seg oppmerksomhet.
Forskere undersøker fortsatt hvordan angrepet startet
Forskerne har ennå ikke bekreftet nøyaktig hvordan angriperne først kompromitterte de berørte WordPress-nettstedene. Flere vanlige angrepsveier er likevel fortsatt mulige.
Mulige inngangspunkter inkluderer utdaterte plugins, sårbare temaer, stjålne administratoropplysninger eller dårlig sikrede hostingmiljøer. WordPress-nettsteder blir ofte mål når eiere utsetter oppdateringer eller lar gamle utvidelser bli værende.
Omfanget av kampanjen tyder også på at angriperne sannsynligvis brukte automatisert skanning og utnyttelse for raskt å finne sårbare nettsteder.
Forskere fortsetter nå å analysere indikatorer knyttet til operasjonen for å forstå infrastrukturen og angrepskjeden bak kampanjen bedre.
Nettstedseiere bør gjennomgå WordPress-sikkerheten
Sikkerhetseksperter anbefaler at WordPress-administratorer undersøker nettsteder for tegn på kompromittering. Mistenkelige referanser til Steam Community-URL-er, uventede JavaScript-injeksjoner, endrede PHP-filer og uvanlig utgående trafikk kan indikere infeksjon.
Administratorer bør også:
- Oppdatere WordPress-kjernen
- Fjerne ubrukte plugins og temaer
- Tilbakestille administratorpassord
- Aktivere multifaktorautentisering
- Gjennomgå serverlogger for mistenkelig aktivitet
- Gjenopprette rene sikkerhetskopier hvis kompromittering bekreftes
Regelmessig vedlikehold er fortsatt en av de mest effektive måtene å redusere sikkerhetsrisikoer i WordPress-miljøer på.
Konklusjon
WordPress Steam-skadevarekampanjen viser hvordan cyberkriminelle fortsetter å utvikle nye teknikker for å unngå oppdagelse og opprettholde tilgang til kompromitterte nettsteder. Ved å skjule skadelige payloads i Steam Community-profiler kunne angriperne unngå tradisjonell malware-infrastruktur og få trafikken til å fremstå som legitim.
Kampanjen fremhever også de vedvarende sikkerhetsrisikoene knyttet til utdaterte eller dårlig sikrede WordPress-miljøer. Nettstedseiere bør overvåke systemene sine regelmessig, installere oppdateringer raskt og undersøke mistenkelig aktivitet før angripere får varig tilgang.
0 responses to “WordPress Steam-skadevarekampanje har infisert nesten 2 000 nettsteder”