WordPress Steam-skadlig kod-kampanjen har infekterat nästan 2 000 webbplatser genom att utnyttja Steam Community-profiler för att dölja skadliga payloads. Forskare upptäckte att angriparna använde osynliga tecken i offentliga Steam-profiler för att leverera kommandon till komprometterade WordPress-sajter.
Kampanjen sticker ut eftersom den undviker traditionell command-and-control-infrastruktur. I stället för att använda misstänkta domäner eller dedikerade servrar hämtar skadlig kod dolda instruktioner från en legitim spelplattform. Metoden gör att den skadliga trafiken smälter in i normal internetaktivitet och blir svårare att upptäcka.
Forskare anser att operationen speglar en växande trend där angripare gömmer skadlig kommunikation i legitima onlinetjänster.
Angripare gömde payloads i Steam-profiler
Säkerhetsforskare upptäckte att skadlig kod ansluter till specifika Steam Community-profiler och läser dold data som lagrats i profilinnehållet. Angriparna använde osynliga Unicode-tecken för att dölja kodade payloads utan att texten såg misstänkt ut.
När payloaden avkodas genererar den skadliga instruktioner för den infekterade WordPress-webbplatsen. Skadlig kod injicerar därefter farlig JavaScript-kod på sidorna och kan omdirigera besökare till oönskat innehåll eller ytterligare skadlig infrastruktur.
Eftersom Steam är en legitim och betrodd plattform är det mindre sannolikt att säkerhetsverktyg direkt markerar anslutningarna som farliga. Metoden hjälper angriparna att undvika automatiserade säkerhetssystem som fokuserar på misstänkta domäner eller kända malware-servrar.
Tekniken ger också angriparna större flexibilitet. De kan uppdatera payloads direkt genom förändringar i Steam-profiler utan att behöva modifiera den installerade skadliga koden på de komprometterade webbplatserna.
Skadlig kod innehöll dold bakdörr
Forskare identifierade även en dold PHP-bakdörr i de infekterade WordPress-miljöerna. Bakdörren gör det möjligt för angriparna att köra kommandon på distans och behålla långvarig åtkomst till de komprometterade webbplatserna.
Åtkomsten ger hotaktörerna omfattande kontroll över de infekterade systemen. Angriparna kan installera ytterligare malware, modifiera WordPress-filer, ändra plugins eller använda webbplatserna i framtida attacker.
Skadlig kod använde dessutom flera obfuskeringsmetoder för att försvåra analys och minska risken för upptäckt. Forskarna observerade slumpmässiga variabelnamn, kodade payloads och flerskiktade exekveringsmetoder som gjorde manuell granskning mer komplicerad.
Teknikerna tyder på att operatörerna ville hålla infektionerna aktiva under lång tid utan att väcka uppmärksamhet.
Forskare undersöker fortfarande hur attackerna började
Forskarna har ännu inte kunnat bekräfta exakt hur angriparna först komprometterade de drabbade WordPress-sajterna. Flera vanliga attackvägar är dock fortfarande möjliga.
Möjliga ingångspunkter inkluderar föråldrade plugins, sårbara teman, stulna administratörsuppgifter eller dåligt skyddade hostingmiljöer. WordPress-webbplatser blir ofta mål när webbplatsägare skjuter upp uppdateringar eller behåller gamla tillägg som inte längre stöds.
Kampanjens omfattning tyder också på att angriparna sannolikt använde automatiserad skanning och exploatering för att snabbt identifiera sårbara webbplatser.
Forskare fortsätter nu att analysera indikatorer kopplade till operationen för att bättre förstå infrastrukturen och attackkedjan bakom kampanjen.
Webbplatsägare bör granska säkerheten i WordPress
Säkerhetsexperter rekommenderar att WordPress-administratörer granskar sina webbplatser efter tecken på kompromettering. Misstänkta referenser till Steam Community-URL:er, oväntade JavaScript-injektioner, modifierade PHP-filer och ovanlig utgående trafik kan tyda på infektion.
Administratörer bör även:
- Uppdatera WordPress-kärnan
- Ta bort oanvända plugins och teman
- Återställa administratörslösenord
- Aktivera multifaktorautentisering
- Granska serverloggar efter ovanlig aktivitet
- Återställa rena säkerhetskopior om kompromettering bekräftas
Regelbundet underhåll är fortfarande ett av de mest effektiva sätten att minska säkerhetsriskerna i WordPress-miljöer.
Slutsats
WordPress Steam-skadlig kod-kampanjen visar hur cyberkriminella fortsätter att utveckla nya tekniker för att undvika upptäckt och behålla åtkomst till komprometterade webbplatser. Genom att gömma skadliga payloads i Steam Community-profiler kunde angriparna undvika traditionell malware-infrastruktur och få trafiken att framstå som legitim.
Kampanjen belyser också de fortsatta säkerhetsriskerna för föråldrade eller dåligt skyddade WordPress-miljöer. Webbplatsägare bör övervaka sina system regelbundet, installera uppdateringar snabbt och undersöka misstänkt aktivitet innan angripare får långvarig åtkomst.


0 svar till ”WordPress Steam-skadlig kod-kampanj har infekterat nästan 2 000 webbplatser”