image

Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware

dinsdag 30 november 2021, 12:54 door Redactie, 3 reacties

De FluBot-malware waar de Nederlandse politie onlangs nog voor waarschuwde wordt via duizenden gecompromitteerde WordPress-sites verspreid. Internetbedrijf Netcraft stelt dat het bijna tienduizend websites heeft gevonden die een rol spelen bij de verspreiding van de beruchte Androidmalware.

FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan.

In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.

Om FluBot te verspreiden maken criminelen gebruik van sms-berichten die een zogenaamde trackinglink bevatten. Deze links wijzen naar de gecompromitteerde WordPress-sites waarop een script is geïnstalleerd. Dit script toont bezoekers een melding dat ze een zogenaamde app van DHL of UPS moeten installeren om de trackinginformatie te kunnen zien. In werkelijkheid gaat het om de FluBot-malware.

Volgens Netcraft zijn de WordPress-sites door middel van kwetsbare plug-ins en themes gecompromitteerd, waardoor vervolgens de malafide code kon worden toegevoegd. "De omvang van deze operatie is indrukwekkend, waarbij soms meer dan duizend nieuwe websites per week met FluBot-scripts worden geïnfecteerd. Dat is een gemiddelde van één site per tien minuten", zegt Sean Gebbett van Netcraft.

Reacties (3)
30-11-2021, 14:10 door Anoniem
En hoe stel je vast dat een Wordpress site besmet is?
30-11-2021, 19:17 door Anoniem
Zoek eens bij urlhaus onder flubot en je krijgt een overzicht hoe dergelijke, inmiddels offline gehaalde websites, zijn gecompromitteerd geraakt.
De core code van Wordpress wordt vaak goed onderhouden. Outdated plugins en soms verlaten plugins zijn vaak de boosdoeners in dergelijke gevallen.
luntrus
01-12-2021, 05:59 door Anoniem
Litespeed, hou je aan de laatst beschikbare versie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.