17. 12. 2014

Společnost Google umístila na černou listinu přes 11 tisíc domén v souvislosti s malware kampaní z domény soaksoak.ru. Postiženo je již více než 100 tisíc webových stránek s redakčním systémem WordPress (WP). Bezpečnostní tým Sucuri, který aktivně vyšetřuje potenciální vektor útoku, uvedl, že přesný vektor útoku potvrdit nelze, ale předběžná analýza ukazuje na podobnost se zranitelností RevSlider.

Charakteristika zranitelnosti

Malware modifikuje soubor umístěný ve wp-includes/template-loader.php. Ten způsobí, že se soubor wp-includes/js/swobject.js nahraje do každé zobrazované stránky na webu. Tento swobject.js obsahuje škodlivý kód (zakódovaný java skript), který po dekódování stáhne z domény soaksoak.ru malware hxxp://soaksoak.ru/xteas/code.

Existuje však další varianta, která může ukazovat na možný průběžný vývoj celé malware kampaně. Skript swobject.js v tomto případě vytváří flash soubor wp-includes/js/swfobjct.swf, který už není součástí jádra WP. Po dekompilaci swfobjct.swf se spouští funkce, která (pouze v prohlížečích Internet Explorer 11 a Firefox) obsahuje podobný kód pro stahování škodlivého malware v neviditelném iframe, tentokrát ale již z domény hxxp://milaprostaya.ru/images/.

Postižené systémy

Systémy s redakčním systémem WordPress.

Dopad zranitelnosti

Napadené webové stránky se chovají nestandardně, dochází k nečekaným přesměrováním na stránky soaksoak.ru. Může dojít i k automatickému stahování škodlivých souborů do systémů počítače.

Řešení

Tým Sucuri poskytuje možnost kontroly webových stránek vlastním skenerem zdarma na adrese http://sitecheck.sucuri.net/. Ochranu před malware kampaní Soak Soak může poskytovat aktivovaný Firewall, CloudProxy nebo služba CDN (Content Delivery Network).

CVE

N/A

Odkazy

http://blog.sucuri.net/2014/12/soaksoak-payload-analysis-evolution-of-compromised-sites-ie-11.html
http://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html