Тысячи сайтов WordPress были заражены загадочной вредоносной программой

Тысячи сайтов WordPress были заражены загадочной вредоносной программой. Фото: СС0

Вредоносная программа перенаправляла посетителей на другой веб-сайт, где загружалась реклама, размещенная на платформе Google Ads, что приносило прибыль владельцам веб-сайта.

Команда Sucuri обнаружила, что неизвестному злоумышленнику удалось скомпрометировать почти 11 тыс. веб-сайтов на базе WordPress. 

WordPress является самой популярной в мире платформой веб-хостинга и обычно считается безопасной. Тем не менее, она предлагает бесчисленное множество плагинов WordPress, некоторые из которых содержат уязвимости высокой степени опасности.

Хотя исследователи не смогли точно определить уязвимость, используемую для доставки этой вредоносной программы, они предполагают, что злоумышленники автоматизировали процесс и, вероятно, использовали любые известные неисправленные недостатки, которые они могли найти. 

Принцип работы вредоносного ПО прост: когда люди посещают зараженные веб-сайты, они перенаправляются на другой веб-сайт вопросов и ответов, который загружает рекламу, расположенную в Google Ads. Таким образом, алгоритм Google, по сути, будет обманут, заставив владельцев рекламных кампаний платить за просмотры, не подозревая, что просмотры на самом деле являются мошенническими. 

Sucuri уже несколько месяцев отслеживает подобные кампании. В конце ноября прошлого года исследователи обнаружили аналогичную кампанию, которая заразила около 15 тыс. сайтов WordPress. Отличие этих двух кампаний в том, что в прошлогодней афёре злоумышленники не удосужились скрыть вредоносное ПО. На самом деле они сделали прямо противоположное, установив более 100 вредоносных файлов на каждый сайт.

Однако в новой кампании злоумышленники приложили все усилия, чтобы скрыть существование вредоносного ПО, говорят исследователи. Они также сделали вредоносное ПО несколько более устойчивым к мерам противодействия, оставаясь на сайтах в течение более длительных периодов времени.

По словам исследователей, для защиты от таких атак лучше всего поддерживать веб-сайт и все плагины в актуальном состоянии, а также обеспечивать безопасность панели администратора wp с помощью надежного пароля и многофакторной аутентификации. Те, кто уже был заражен, могут следовать инструкциям Sucuri, изменить пароли всех точек доступа и поместить веб-сайт за брандмауэром.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Хакеры взломали Reddit, чтобы украсть исходный код и внутренние данные.  
• Жертвы нового вымогателя Clop под Linux могут легко вернуть свои данные.
• Android 14 блокирует вредоносные программы от злоупотребления конфиденциальными разрешениями.