Киберпреступники нацеливаются на устаревшие сайты WordPress для размещения фишинговой рекламы

Киберпреступники начали взламывать сайты WordPress со старыми версиями самой популярной в мире CMS, чтобы использовать их для показа вредоносной фишинговой рекламы.

Киберпреступники нацеливаются на устаревшие сайты WordPress для размещения фишинговой рекламы. Фото: Pixabay

Исследователи безопасности из Cybernews впервые узнали об этом методе атаки еще в декабре прошлого года во время обычной операции сканирования. Однако их выводы привели к обнаружению незаконной схемы зарабатывания денег, которая использовалась для взлома сотен сайтов, на которых либо установлены устаревшие версии WordPress, либо не установлены соответствующие плагины безопасности.

Для этого киберпреступники сначала взламывали уязвимые веб-сайты, используя эксплойты или атаки с заполнением учетных данных. Внедрив PHP-скрипт в установки WordPress на целевых сайтах, они смогли превратить их в точки управления и контроля, которые обслуживали вредоносную рекламу при запуске скриптами второй фазы или при открытии по ссылке. Удивительно, но все вредоносные PHP-скрипты, обнаруженные Cybernews , маскировались под законные плагины WordPress .

Исследователь Cybernews Винсентас Баубонис объяснил, как часть кода ЯваСкрипт изначально побудила исследователей безопасности продолжить расследование:

«Эта конкретная часть кода ЯваСкрипт привлекла внимание команды из-за сильной запутанности и странных условий развертывания. Обфускация кода — это метод, используемый законными разработчиками и злоумышленниками для предотвращения обратного проектирования. В данном случае он использовался для реверсирования фактической полезной нагрузки для сокрытия вредоносного кода»

После того, как вредоносные PHP-скрипты стали выглядеть как законные плагины, были запущены автоматические атаки на старые версии сайтов WordPress с целью вставки ссылок в их HTML, которые привели к ранее взломанным точкам управления и контроля.

Как сообщают в Cybernews , на первом этапе всех итераций этой атаки были скомпрометированы четыре сайта, которые затем использовались для размещения скриптов управления и контроля, в то время как второй этап в основном был нацелен на сайты, работающие под управлением более старых версий WordPress от 3.5.1 до 4.9.1. Исследовательская группа издания обнаружила не менее 560 скомпрометированных сайтов WordPress, из которых 382 запускали вредоносный код. К счастью, либо из-за ошибок, либо из-за встроенных мер безопасности WordPress не все скомпрометированные сайты смогли приносить доход киберпреступникам.

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.