® MinOtaVr'S Blog!

Eνα νέο malware με την ονομασία SoakSoak έκανε την εμφάνισή του αυτές τις ημέρες και έχει ήδη μολύνει περισσότερα από 100 χιλιάδες sites που βασίζονται στο WordPress.
Σύμφωνα με την Sucuri, το συγκεκριμένο malware ξεκίνησε από το ρώσικο domain SoakSoak.ru, ενώ με μία πρώτη ανάλυση διαπιστώνεται να υπάρχει συσχέτιση με την ευπάθεια Revslider, η οποία είχε ανακαλυφθεί πριν από λίγους μήνες.
Η επίθεση φαίνεται να επηρεάζει τα περισσότερα hosts σε όλο το φάσμα του WordPress hosting.
Αυτό που γίνεται μέσω της επίθεσης, είναι η τροποποίηση του αρχείου wp-includes/template-loader.php, ώστε να περιλαμβάνει τον παρακάτω κώδικα:

Αυτό έχει ως αποτέλεσμα να φορτωθεί το αρχείο wp-includes/js/swobject.js σε κάθε σελίδα του website, το οποίο όταν αποκωδικοποιείται φορτώνει ένα κακόβουλο λογισμικό JavaScript από το domain SoakSoak.ru - συγκεκριμένα αυτό το αρχείο: soaksoak.ru/xteas/code.
Μέχρι στιγμής δεν έχει διαπιστωθεί τι "ζημιά" προκαλεί το SoakSoak.
Επίσης, να τονίσουμε ότι τα sites στο domain WordPress.com δεν κινδυνεύουν να μολυνθούν.

[via]