Duizenden gehackte WordPress-sites verspreiden malware

[Captain Kirk]

De afgelopen weken zijn duizenden WordPress-sites gehackt die vervolgens worden gebruikt voor het verspreiden van malware. Het gaat ook om verschillende Nederlandse websites, waaronder nummeriban.nl, hoofdpijncentra.nl en de website van Dries Roelvink. Dat laat de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma vandaag weten.

Op de gehackte WordPress-sites is een iframe geplaatst dat bezoekers, zonder dat ze dit doorhebben, naar een exploitkit doorstuurt. Deze exploitkit maakt gebruik van bekende beveiligingslekken in Adobe Flash Player, Adobe Reader en Java om gebruikers te besmetten. Als gebruikers echter de meest recente versie van deze plug-ins gebruiken lopen ze geen risico. "Er zijn duizenden websites die op dit moment dit iframe bevatten. Van de data die ik heb gaat het om zo'n 3.000 websites, maar dit is waarschijnlijk slechts een fractie", aldus Klijnsma.

In het geval de aanval succesvol is kunnen er allerlei soorten malware worden geïnstalleerd, waaronder ransomware die allerlei bestanden versleutelt tot Trojaanse paarden die speciaal ontwikkeld zijn om geld van online bankrekeningen te stelen. Volgens Klijnsma zijn de WordPress-sites gehackt via een lek in de RevSlider-plug-in. Het gaat hier om een bekend lek waarvoor een update beschikbaar is. Webmasters hebben de update echter niet uitgerold. Eigenaren van een WordPress-site krijgen dan ook het advies om zowel het contentmanagementsysteem als geïnstalleerde plug-ins up-to-date te houden.

 

 

bron: security.nl

[Captain Kirk]

WordPress-sites leiden naar besmette Pirate Bay-kloon

 

Onderzoekers van Malwarebytes hebben verschillende gehackte WordPress-sites ontdekt die bezoekers ongemerkt doorsturen naar een kloon van de populaire torrentsite The Pirate Bay. Daar wordt vervolgens geprobeerd om via een recent gepatcht lek in Adobe Flash Player malware te verspreiden.

De website is opgezet via "The Open Bay project", een initiatief waarmee iedereen met minimale technische kennis een "kopie" van de The Pirate Bay online kan zetten. De website is echter voorzien van de Nuclear-exploitkit. Deze exploitkit maakt misbruik van een beveiligingslek in Flash Player dat eind januari door Adobe werd gepatcht. In het geval bezoekers van de WordPress-sites deze update missen kunnen ze door een banking Trojan besmet raken.

Dit is een Trojaans paard dat probeert om geld van online bankrekeningen te stelen. De WordPress-sites zijn zelf ook niet up-to-date en blijken een verouderde versie van de RevSlider-plug-in te draaien. Onlangs werd al bekend dat er duizenden WordPress-sites via een kwetsbare versie van deze plug-in zijn gehackt.

 

 

bron: security.nl

 

4 april 2015 aangepast door Captain Kirk