Infoblox waarschuwt voor aanvallen op WordPress. De groep VexTrio valt de websites aan. WordPress is inmiddels het meest populaire content managementsysteem (CMS) voor websites ter wereld. Via DDGA-aanvallen besmetten de aanvallers websites, waarna bezoekers worden besmet met malware en spyware door het gebruik van Javascript.
Webformulieren verspreiden
VexTrio is een groep cyberaanvallers die algoritmen gebruiken om domeinnamen te genereren (DDGA), vanwaar ze aanvallen uitvoeren om adware, spyware en frauduleuze webformulieren te verspreiden. Deze cyberaanvallers maken intensief gebruik van domeinbeheer en het DNS-protocol en gebruiken kwetsbare WordPress-websites als aanvalsvector om de systemen van nietsvermoedende websitebezoekers te besmetten.
Stramien van een aanval
Aanvallen verlopen volgens een vast stramien. Allereerst zoekt VexTrio websites met cross-site scripting (XSS)-kwetsbaarheden in gebruikte plugins of WordPress-thema’s. Vervolgens injecteren ze kwaadaardige JavaScript-code. Wanneer slachtoffers deze websites daarna bezoeken, worden zij naar een website met schadelijke content omgeleid via een of meer tussenliggende domeinen die eveneens door deze criminelen worden beheerd. De schadelijke content op de eindbestemming kan bijvoorbeeld malware of spyware zijn waarmee het systeem van slachtoffers wordt besmet. Het doel van tussenliggende omleidingsdomeinen is om informatie over de slachtoffers vast te leggen, zoals de referrer URL, zoekwoorden, de gecompromitteerde WordPress-website en geolocatie.
Aanbevelingen voor veiliger WordPress-gebruik
De impact van dit type aanvallen is te beperken door een aantal voorzorgsmaatregelen te nemen. Zo is het goed JavaScript in webbrowsers volledig uit te schakelen, of Javascript alleen toe te staan voor vertrouwde sites. Daarnaast is het advies het gebruik van een adblocker-programma te overwegen. Dit, om bepaalde door pop-ups geactiveerde malware te blokkeren. Gebruik naast een adblocker ook de webextensie NoScript, die JavaScript en andere potentieel schadelijke content alleen laat uitvoeren vanaf vertrouwde sites.
Tot slot kunnen organisaties een geavanceerde bescherming bereiken via onder meer actieve monitoring en mitigatie op DNS-niveau, door gebruik van RPZ-feeds en realtime analytics van DNS-queries.
