Хакери зламали тисячі сайтів на WordPress: тепер вони перенаправляють на шахрайські сторінки

Олександр Гайдамашко

Джерело:

Sucuri

Хакери зламали тисячі сайтів на WordPress тепер вони перенаправляють на шахрайські сторінки - Техно

Ілюстративне фото / Ilya Pavlov

Дослідники з компанії Sucuri виявили масштабну кампанію, в рамках якої хакери впроваджують шкідливий код JavaScript на скомпрометовані сайти під управлінням WordPress.

WordPress – це система керування вмістом сайтів. Вона має відкритий вихідний код і через свою відносну простоту широко застосовується для створення різноманітних блогів, сервісів, складних ресурсів. Вбудована система тем і плагінів дозволяє конструювати на основі WordPress практично будь-які вебпроєкти.

Цікаво Росію звинуватили в кібератаках на супутниковий інтернет, зокрема технологію Starlink

Що відомо

Заражені ресурси використовуються для перенаправлення користувачів на шахрайські сторінки та різні шкідливі сайти.
За даними експертів, в цілому компрометації вже піддалися понад 6600 сайтів.
Шкідливий код впроваджується в різні файли зламаних сайтів, бази даних і базові файли WordPress.
Зловмисники намагаються помістити власний шкідливий код в будь-які файли формату .js, що містять в своєму імені "jQuery".
При цьому він здатен уникнути виявлення і приховати свою активність.

Так, впровадження коду на зламаному сайті створює новий елемент скрипта з доменом legendtable[.] com як джерело.
Цей домен звертається до другого зовнішнього домену – local[.]drakefollow[.] com, який звертається до іншого.
Таким чином створюється цілий ланцюжок, через який проходить відвідувач, поки не буде перенаправлений на який-небудь кінцевий шкідливий ресурс.

Перед тим як потрапити на кінцеву цільову сторінку, деякі відвідувачі потрапляють на фальшиву сторінку з CAPTCHA, яка намагається змусити їх підписатися на push-повідомлення зі шкідливого сайту.

Якщо людина натисне на підроблену CAPTCHA, вона буде отримувати небажану рекламу, навіть якщо сайт не відкритий, а реклама буде виглядати так, ніби вона виходить з операційної системи, а не з браузера. Також подібні приховані маневри з push-повідомленнями пов'язані з одним з найбільш поширених способів шахрайства з "технічною підтримкою". Коли користувача інформують про те, що його комп'ютер заражений вірусом або працює занадто повільно, а щоб розв'язати проблему, слід зателефонувати за безкоштовним номером,
— кажуть експерти.

Дослідники кажуть, що для початкової компрометації сайтів на WordPress зловмисники використовують численні уразливості в плагінах і темах WordPress, які виявляються регулярно.

Наразі неясно, чи вживає компанія яких-небудь заходів для закриття усіх дір у коді.