Hacker sedang mengambil kesempatan daripada versi WordPress dan plugin yang lapuk untuk mengubah ribuan laman web, dengan harapan untuk menipu pengunjung supaya memuat turun dan memasang malware, menurut penyelidik keselamatan.
Kempen hacking ini masih “sangat aktif,” kata Simon Wijckmans, pengasas dan CEO syarikat keselamatan web c/side yang menemui serangan ini, dalam satu kenyataan kepada TechCrunch pada hari Selasa.
Objektif hacker ini adalah untuk menyebarkan malware yang boleh mencuri kata laluan dan maklumat peribadi dari pengguna Windows dan Mac. Menariknya, beberapa laman web yang terjejas merupakan antara yang paling popular di internet, seperti yang dinyatakan oleh c/side.
“Ini adalah serangan yang meluas dan sangat komersial,” kata Himanshu Anand, yang mencatatkan penemuan syarikat itu. Anand menjelaskan bahawa kempen ini adalah serangan “spray and pay” yang bertujuan untuk mencuri data sesiapa sahaja yang melawat laman web berkenaan, bukan sasaran khusus.
Apabila laman WordPress yang telah digodam dimuatkan dalam pelayar pengguna, kandungannya secara cepat bertukar menjadi halaman kemas kini pelayar Chrome palsu, meminta pengunjung laman tersebut untuk memuat turun dan memasang kemas kini untuk melihat laman itu. Jika pengunjung bersetuju dengan kemas kini tersebut, laman yang digodam akan mendorong pengunjung untuk memuat turun fail berbahaya yang menyamar sebagai kemas kini, sama ada untuk PC Windows atau Mac.
Wijckmans berkata mereka telah memberitahu Automattic, syarikat yang mengembangkan dan mengedarkan WordPress, mengenai kempen hacking ini dan telah menghantar senarai domain berbahaya kepada mereka. Pihak Automattic mengesahkan menerima e-mel tersebut, tetapi tidak memberikan maklum balas ketika dihubungi oleh TechCrunch.
C/side melaporkan bahawa mereka telah mengenal pasti lebih dari 10,000 laman web yang kelihatan telah dikompromi dalam kempen hacking ini. Wijckmans berkata syarikat itu mengesan skrip berbahaya di beberapa domain dengan merayapi internet dan melakukan reverse DNS lookup, iaitu teknik untuk mencari domain dan laman web yang berkaitan dengan alamat IP tertentu.
TechCrunch tidak dapat mengesahkan ketepatan angka c/side, tetapi mereka melihat satu laman WordPress yang telah digodam dan masih memaparkan kandungan berbahaya pada hari Selasa.
Dari WordPress ke Malware Pencuri Maklumat
Dua jenis malware yang sedang dipromosikan di laman-laman berbahaya ini dikenali sebagai Amos (atau Amos Atomic Stealer), yang mensasarkan pengguna macOS; dan SocGholish, yang mensasarkan pengguna Windows.
Pada Mei 2023, firma keselamatan siber SentinelOne menerbitkan laporan mengenai Amos, mengklasifikasikannya sebagai pencuri maklumat, iaitu jenis malware yang direka untuk menjangkiti komputer dan mencuri nama pengguna, kata laluan, cookie sesi, dompet kripto, dan data sensitif lain yang membolehkan hacker meneruskan pemecahan masuk ke dalam akaun mangsa dan mencuri mata wang digital mereka. Menariknya, firma Cyble melaporkan pada waktu itu bahawa hacker sedang menjual akses kepada malware Amos di Telegram.
Patrick Wardle, pakar keselamatan macOS dan pengasas bersama startup keselamatan siber DoubleYou yang berfokus pada Apple, memberitahu TechCrunch bahawa Amos adalah “definitifnya pencuri paling berleluasa di macOS,” dan dicipta dengan model perniagaan malware-as-a-service, di mana pencipta dan pemilik malware menjualnya kepada hacker yang kemudian melaksanakan serangan.
Wardle juga menekankan bahawa untuk seseorang memasang dengan jayanya fail berbahaya yang ditemui oleh c/side di macOS, “pengguna masih perlu menjalankannya secara manual dan melangkaui banyak halangan untuk mengatasi keselamatan terbina dalam Apple.”
Walaupun ini mungkin bukan kempen hacking paling canggih, mengingat hacker bergantung pada mangsa untuk terpedaya dengan halaman kemas kini palsu dan kemudian memasang malware, ia mengingatkan kita semua untuk sentiasa mengemas kini pelayar Chrome melalui ciri kemas kini perisian yang disediakan dan hanya memasang aplikasi yang dipercayai pada peranti peribadi kita.
Malware pencuri kata laluan dan kecurian kelayakan telah disalahkan untuk beberapa serangan terbesar dan pelanggaran data dalam sejarah. Pada tahun 2024, hacker menyerang secara besar-besaran akaun syarikat gergasi yang menyimpan data sensitif mereka dengan raksasa pengkomputeran awan Snowflake menggunakan kata laluan yang dicuri dari komputer pelanggan Snowflake.