Säkerhetsforskare på GoDaddy Security har upptäckt en ny skadlig kampanj riktad mot WordPress-sajter. Det som gör den ovanlig är metoden: angriparna gömmer sina styrningsinstruktioner i kommentarsfält på Steam-profiler.

Tekniken kallas "dead drop resolving" och går ut på att skadlig kod hämtar sina instruktioner från en till synes oskyldig källa, i det här fallet offentliga Steam-profiler. När en WordPress-sajt väl är infekterad kontaktar den skadeprogrammet regelbundet Steam för att hämta uppdaterade kommandon, lagda av angriparna som vanliga kommentarer på profilsidor.

Hur attacken fungerar

Angriparna komprometterar WordPress-sajter och planterar skadlig PHP-kod. Den här koden gömmer sig i befintliga PHP-filer och är svår att upptäcka utan djupare analys. Vid aktivering kontaktar koden en Steam-profil, läser av kommentarsfältet och tolkar innehållet som kommandon, till exempel att ladda ner ytterligare skadlig kod eller öppna bakdörrar.

Metoden är smart av flera skäl. Steam är en legitim och välkänd plattform som sällan blockeras av brandväggar eller säkerhetssystem. Trafik mot Steam väcker inga larm. Angriparna kan dessutom uppdatera sina instruktioner när som helst, utan att röra den infekterade sajten.

Varför det drabbar företag

WordPress driver uppskattningsvis 40 procent av alla webbplatser, inklusive många företagssajter, intranät och e-handelslösningar. En infekterad sajt kan användas för att stjäla kunddata, sprida skadlig kod till besökare eller ingå i ett botnät.

Det som gör den här kampanjen extra besvärlig är att den är svår att stoppa med traditionella metoder. Att blockera Steam-trafik är i praktiken inte möjligt för de flesta organisationer.

Vad du bör göra

• Håll WordPress och alla tillägg uppdaterade. De flesta intrång sker via kända sårbarheter i föråldrade versioner.
• Granska PHP-filer regelbundet efter oväntade ändringar, särskilt i wp-includes och wp-content.
• Använd en webbapplikationsbrandvägg (WAF) som kan detektera onormal utgående trafik från servern.
• Aktivera filintegritetskontroll så att du snabbt märker om filer ändras utan din vetskap.

BlckIT hjälper företag att säkra sina webbmiljöer och WordPress-installationer. Kontakta oss för en genomgång av er säkerhetsstatus.