Хакери зламали тисячі сайтів на WordPress: тепер вони перенаправляють на шахрайські сторінки

16 травня 2022, 20:02
Читать новость на русском
Автор: Олександр Гайдамашко

Джерело:

Sucuri

Дослідники з компанії Sucuri виявили масштабну кампанію, в рамках якої хакери впроваджують шкідливий код JavaScript на скомпрометовані сайти під управлінням WordPress.

WordPress – це система керування вмістом сайтів. Вона має відкритий вихідний код і через свою відносну простоту широко застосовується для створення різноманітних блогів, сервісів, складних ресурсів. Вбудована система тем і плагінів дозволяє конструювати на основі WordPress практично будь-які вебпроєкти.

Цікаво Росію звинуватили в кібератаках на супутниковий інтернет, зокрема технологію Starlink

Що відомо

  • Заражені ресурси використовуються для перенаправлення користувачів на шахрайські сторінки та різні шкідливі сайти.
  • За даними експертів, в цілому компрометації вже піддалися понад 6600 сайтів.
  • Шкідливий код впроваджується в різні файли зламаних сайтів, бази даних і базові файли WordPress.
  • Зловмисники намагаються помістити власний шкідливий код в будь-які файли формату .js, що містять в своєму імені "jQuery".
  • При цьому він здатен уникнути виявлення і приховати свою активність.
Як правило, переадресації ведуть на фішингові сторінки, завантаження вірусів, рекламні банери або генерують ще більше перенаправлень.

  • Так, впровадження коду на зламаному сайті створює новий елемент скрипта з доменом legendtable[.] com як джерело.
  • Цей домен звертається до другого зовнішнього домену – local[.]drakefollow[.] com, який звертається до іншого.
  • Таким чином створюється цілий ланцюжок, через який проходить відвідувач, поки не буде перенаправлений на який-небудь кінцевий шкідливий ресурс.

Перед тим як потрапити на кінцеву цільову сторінку, деякі відвідувачі потрапляють на фальшиву сторінку з CAPTCHA, яка намагається змусити їх підписатися на push-повідомлення зі шкідливого сайту.

Якщо людина натисне на підроблену CAPTCHA, вона буде отримувати небажану рекламу, навіть якщо сайт не відкритий, а реклама буде виглядати так, ніби вона виходить з операційної системи, а не з браузера. Також подібні приховані маневри з push-повідомленнями пов'язані з одним з найбільш поширених способів шахрайства з "технічною підтримкою". Коли користувача інформують про те, що його комп'ютер заражений вірусом або працює занадто повільно, а щоб розв'язати проблему, слід зателефонувати за безкоштовним номером,
— кажуть експерти.

Дослідники кажуть, що для початкової компрометації сайтів на WordPress зловмисники використовують численні уразливості в плагінах і темах WordPress, які виявляються регулярно.

Наразі неясно, чи вживає компанія яких-небудь заходів для закриття усіх дір у коді.