Cyberthreat.id - Lebih dari 2000 situs WordPress telah diretas oleh penjahat cyber untuk kampanye penipuan (Fraud). Salah satu modus utama yang digunakan adalah mengarahkan pengunjung ke beberapa situs penipuan.

Kasus ini ditemukan oleh para peneliti dari Sucuri. Kampanye peretasan memanfaatkan kerentanan yang sebelumnya diketahui di plugin WordPress.

Beberapa plugin yang rentan dieksploitasi termasuk 'Formulir Kontak CP dengan PayPal' dan 'Simple Fields'.

Berikut penjelasannya:

1. Saat dieksploitasi, kerentanan memungkinkan penyerang untuk menyuntikkan JavaScript yang memuat skrip dari domain jahat seperti gotosecond2 [.] Com, adsformarket [.] Com, admarketlocation [.] Com, dan riset riset [.] Xyz.

2. Ketika pengunjung mengakses situs yang telah diretas, skrip yang disuntikkan akan mencoba untuk /wp-admin/options-general.php dan URL administratif /wp-admin/theme-editor.php di latar belakang.

URL ini selanjutnya disalahgunakan untuk menyuntikkan skrip atau mengubah pengaturan WordPress lalu mengarahkan pengunjung ke berbagai halaman penipuan. Halaman itu berisi langganan pemberitahuan browser yang tidak diinginkan, survei palsu, hadiah, unduhan Adobe Flash palsu dan sebagainya.

3. Namun, untuk menyuntikkan skrip, URL ini memerlukan akses administratif.

4. Selain menyuntikkan JavaScript jahat, penyerang telah membuat direktori plugin palsu yang digunakan untuk mengunggah malware lebih lanjut ke situs yang disusupi. Cara ini dibuat dengan menyalahgunakan file /wp-admin/includes/plugin-install.php.

5. Setelah pengguna berlangganan lewat pemberitahuan dengan mengklik tombol 'Izinkan' (Allow), mereka akan diarahkan ke situs scam lainnya.

Apa yang harus dilakukan?

Pemilik website didesak untuk segera menonaktifkan modifikasi folder utama untuk memblokir peretas dari memasukkan file berbahaya. Sementara itu, para ahli mengklaim bahwa penyerang akan terus mendaftarkan domain baru atau memanfaatkan domain yang tidak terpakai yang ada untuk melakukan kampanye penipuan.

"Penipuan seperti ini akan lebih banyak di masa yang akan datang," tulis Cyware Hacker News, Kamis (23 Januari 2020).