Populaire CMS WordPress hoofddoelwit van nieuwe golf cyberaanvallen

Infoblox waar­schuwt voor aanvallen op WordPress, het meest populaire content mana­ge­ment­sys­teem (CMS) voor websites ter wereld. Via DDGA-aanvallen besmetten de aanval­lers websites, waarna bezoekers worden besmet met malware en spyware door het gebruik van Javascript.

VexTrio is een groep cyber­aan­val­lers die algo­ritmen gebruiken om domein­namen te genereren (DDGA), vanwaar ze aanvallen uitvoeren om adware, spyware en frau­du­leuze webfor­mu­lieren te verspreiden. Deze cyber­aan­val­lers maken intensief gebruik van domein­be­heer en het DNS-protocol en gebruiken kwetsbare WordPress-websites als aanvals­vector om de systemen van niets­ver­moe­dende websi­te­be­zoe­kers te besmetten.

Aanvallen verlopen als volgt: 

1. VexTrio zoekt websites met cross-site scripting (XSS)-kwetsbaarheden in gebruikte plugins of WordPress-thema’s. 
2. Vervol­gens injec­teren ze kwaad­aar­dige JavaScript-code. 
3. Wanneer slacht­of­fers deze websites daarna bezoeken, worden zij naar een website met scha­de­lijke content omgeleid via een of meer tussen­lig­gende domeinen die eveneens door deze crimi­nelen worden beheerd. 
4. De scha­de­lijke content op de eind­be­stem­ming kan bijvoor­beeld malware of spyware zijn waarmee het systeem van slacht­of­fers wordt besmet. Het doel van tussen­lig­gende omlei­dings­do­meinen is om infor­matie over de slacht­of­fers vast te leggen, zoals de referrer URL, zoek­woorden, de gecom­pro­mit­teerde WordPress-website en geolocatie.

Infoblox beveelt de volgende voor­zorgs­maat­re­gelen aan om de impact van dit type aanvallen te beperken:

• JavaScript in webbrow­sers volledig uitscha­kelen, of Javascript alleen toestaan voor vertrouwde sites
• Overweeg het gebruik van een adblocker-programma om bepaalde door pop-ups geac­ti­veerde malware te blokkeren. Gebruik naast een adblocker ook de webex­tensie NoScript, die JavaScript en andere poten­tieel scha­de­lijke content alleen laat uitvoeren vanaf vertrouwde sites.
• Geavan­ceerde bescher­ming kan door orga­ni­sa­ties worden bereikt via onder meer actieve moni­to­ring en mitigatie op DNS-niveau, door gebruik van RPZ-feeds en realtime analytics van DNS-queries.