През последните седмици бе разкрита нова кампания за разпространение на зловреден софтуер, насочена към WordPress сайтове, която използва необичайна техника за скриване на командно-контролни (C2) данни. Вместо да съхранява тези данни на традиционни сървъри, атакуващите използват коментари в профили на Steam Community – популярна платформа за геймъри.
Какво се случи?
Около 2 000 уебсайта, базирани на WordPress, са били заразени с малуер, който се свързва с профили в Steam, за да получава инструкции и да актуализира своето поведение. Тази техника позволява на зловредния код да избегне традиционните методи за откриване, тъй като комуникацията се осъществява през легитимна платформа, която обикновено не се счита за заплаха.
Използването на Steam профили за скриване на C2 данни е иновативен подход, който усложнява проследяването и блокирането на командите, изпращани към заразените сайтове. Вместо да разчита на собствен сървър, малуерът извлича информацията от коментари, които могат да бъдат променяни и актуализирани отдалечено.
Защо това е важно?
Този случай демонстрира как киберпрестъпниците адаптират тактиките си, използвайки платформи, които не са традиционно свързвани с кибератаки. Използването на Steam като посредник за командно-контролни съобщения показва, че дори популярни и широко използвани услуги могат да бъдат злоупотребявани за злонамерени цели.
За собствениците на WordPress сайтове това означава, че стандартните мерки за сигурност може да не са достатъчни. Необходими са по-усъвършенствани решения за мониторинг и откриване на аномалии, които да идентифицират подобни нетрадиционни комуникационни канали.
По-широк контекст
WordPress е една от най-популярните платформи за създаване на уебсайтове, което я прави честа цел на хакери. Въпреки че има множество инструменти и плъгини за защита, постоянното развитие на методите за атака изисква непрекъснато обновяване на защитните механизми.
Използването на легитимни платформи като Steam за скриване на зловредни операции е част от тенденцията за „живи“ атаки, при които злонамереният софтуер се интегрира в нормалния интернет трафик, за да избегне откриване. Това налага по-тясно сътрудничество между доставчиците на услуги и специалистите по киберсигурност.
Какво може да последва?
Очаква се разработчиците на антивирусни и защитни решения да адаптират системите си, за да разпознават подобни техники на комуникация. За собствениците на сайтове е препоръчително да следят за необичайна активност и да актуализират редовно софтуера и плъгините си.
Освен това, платформите като Steam вероятно ще трябва да засилят контрола върху съдържанието, което се публикува, за да предотвратят използването им като канал за зловредни операции. В дългосрочен план подобни случаи подчертават необходимостта от по-голяма интеграция между различните екосистеми в интернет за по-ефективна борба с киберзаплахите.
