Фото: Pixabay
Атаки были обнаружены в этом месяце с помощью приманки на WordPress, которую создал Ларри Кэшдоллар, исследователь из группы безопасности Akamai, сообщает ZDNet.
Злоумышленники использовали атаки методом перебора, чтобы получить доступ к учётной записи администратора сайта, после чего они перезаписали основной файл индекса сайта WordPress и добавили вредоносный код.
Хотя код был сильно запутан, Кэшдоллар выяснил, что основная роль вредоносной программы заключалась в том, чтобы действовать как прокси и перенаправлять весь входящий трафик на удалённый сервер управления и контроля (C&C), управляемый хакерами.
Именно на этом сервере происходила вся «бизнес-логика» атак. Согласно исследованиям Кэшдоллара, типичная атака выглядит следующим образом:
- Пользователь посещает взломанный сайт WordPress
- Взломанный сайт WordPress перенаправляет запрос пользователя на просмотр сайта на C&C сервер вредоносной программы.
- Если пользователь соответствует определённым критериям, C&C сервер сообщает сайту, чтобы он ответил HTML-файлом, содержащим интернет-магазин, торгующий широким разнообразием обычных объектов.
- Взломанный сайт отвечает на запрос пользователя мошенническим интернет-магазином вместо исходного сайта, который пользователь хотел просмотреть.
Кэшдоллар сообщил, что за то время, пока хакеры получили доступ к его приманке, злоумышленники открыли более 7000 магазинов электронной коммерции, которые они намеревались обслуживать для входящих посетителей.
Вдобавок исследователи Akamai заявили, что хакеры также сгенерировали XML-карты сайта для взломанных сайтов WordPress, которые содержали записи для поддельных интернет-магазинов вместе с аутентичными страницами сайта.
Злоумышленники создали карты сайта, отправили их в поисковую систему Google, а затем удалили карту сайта, чтобы избежать обнаружения.
Хотя эта процедура выглядела довольно безобидной, на самом деле она оказала довольно большое влияние на сайт WordPress, поскольку в конечном итоге отравила его ключевые слова несвязанными и мошенническими записями, которые снизили рейтинг страницы результатов поисковой системы (SERP).
Теперь Cashdollar считает, что этот вид вредоносного ПО может быть использован для схем вымогательства при поисковой оптимизации, когда преступные группы намеренно изменяют рейтинг сайта в поисковой выдаче, а затем просят выкуп, чтобы устранить последствия.
Как сообщал Startpack, ранее в плагине WordPress Ultimate Member были устранены критические ошибки повышения привилегий, которые позволяли захватить уязвимые сайты.
2810
