Ancaman Baru! Ribuan Website WordPress Diretas, Ini Modus dan Cara Mengatasinya
Berita Keamanan Siber
Lebih dari 1.000 situs web berbasis WordPress dilaporkan telah terinfeksi oleh kode JavaScript pihak ketiga yang menyisipkan empat pintu belakang (backdoor) berbeda.
"Pembuatan empat backdoor ini memungkinkan penyerang memiliki beberapa jalur untuk kembali masuk jika salah satu jalur terdeteksi dan dihapus," kata peneliti c/side, Himanshu Anand, dalam analisisnya pada hari Rabu.
Kode JavaScript berbahaya tersebut ditemukan dikirimkan melalui domain cdn.csyndication[.]com. Hingga artikel ini ditulis, tercatat ada 908 situs web yang memiliki referensi ke domain tersebut.
Empat backdoor tersebut memiliki fungsi sebagai berikut:
- Backdoor 1: Mengunggah dan menginstal plugin palsu bernama "Ultra SEO Processor," yang digunakan untuk menjalankan perintah yang diberikan oleh penyerang.
- Backdoor 2: Menyisipkan kode JavaScript berbahaya ke dalam file wp-config.php.
- Backdoor 3: Menambahkan kunci SSH yang dikendalikan penyerang ke file ~/.ssh/authorized_keys untuk memberikan akses jarak jauh yang persisten.
- Backdoor 4: Dirancang untuk menjalankan perintah jarak jauh dan mengambil muatan lain dari gsocket[.]io, yang kemungkinan membuka reverse shell.
Untuk meminimalisir risiko serangan ini, pengguna disarankan untuk menghapus kunci SSH yang tidak sah, mengganti kredensial admin WordPress, dan memantau log sistem untuk aktivitas mencurigakan.
Serangan ini muncul bersamaan dengan kampanye malware lainnya yang telah menginfeksi lebih dari 35.000 situs web menggunakan JavaScript berbahaya yang "mengambil alih sepenuhnya jendela browser pengguna," mengarahkan pengunjung situs ke platform perjudian berbahasa Mandarin.
"Serangan ini tampaknya menargetkan atau berasal dari wilayah di mana bahasa Mandarin umum digunakan, dan halaman akhir menampilkan konten perjudian dengan merek 'Kaiyun'," ungkap laporan tersebut.
Pengalihan ini dilakukan melalui JavaScript yang dihosting pada lima domain berbeda, yang bertindak sebagai pemuat untuk muatan utama yang bertanggung jawab atas pengalihan tersebut:
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongjs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
Temuan ini juga diperkuat oleh laporan terbaru dari Group-IB tentang aktor ancaman bernama ScreamedJungle, yang menyisipkan kode JavaScript bernama Bablosoft JS ke situs Magento yang telah dikompromi untuk mengumpulkan sidik jari (fingerprint) pengunjung.
Lebih dari 115 situs e-commerce diperkirakan telah terdampak hingga saat ini.
Script yang disuntikkan ini adalah "bagian dari paket Bablosoft BrowserAutomationStudio (BAS)," kata perusahaan asal Singapura itu, menambahkan bahwa "kode tersebut memiliki berbagai fungsi lain untuk mengumpulkan informasi tentang sistem dan browser pengguna yang mengunjungi situs web yang dikompromi."
Dilaporkan bahwa para penyerang mengeksploitasi celah keamanan yang diketahui pada versi Magento yang rentan (seperti CVE-2024-34102 alias CosmicSting dan CVE-2024-20720) untuk membobol situs web tersebut. Aktor ancaman bermotif finansial ini pertama kali ditemukan aktif pada akhir Mei 2024.
"Browser fingerprinting adalah teknik kuat yang biasanya digunakan situs web untuk melacak aktivitas pengguna dan menyesuaikan strategi pemasaran," jelas Group-IB. "Namun, informasi ini juga dimanfaatkan oleh penjahat siber untuk meniru perilaku pengguna yang sah, menghindari langkah-langkah keamanan, dan melakukan aktivitas penipuan."
Sumber:
Over 1,000 WordPress Sites Infected with JavaScript Backdoors Enabling Persistent Attacker Access
Sumber:
Over 1,000 WordPress Sites Infected with JavaScript Backdoors Enabling Persistent Attacker Access
Dipublish Oleh: Admin
Tanggal Publish : March 06, 2025
Baca Artikel Lainnya
