Хакери зламали тисячі сайтів на WordPress: тепер вони перенаправляють на шахрайські сторінки
Джерело:
SucuriДослідники з компанії Sucuri виявили масштабну кампанію, в рамках якої хакери впроваджують шкідливий код JavaScript на скомпрометовані сайти під управлінням WordPress.
WordPress – це система керування вмістом сайтів. Вона має відкритий вихідний код і через свою відносну простоту широко застосовується для створення різноманітних блогів, сервісів, складних ресурсів. Вбудована система тем і плагінів дозволяє конструювати на основі WordPress практично будь-які вебпроєкти.
Цікаво Росію звинуватили в кібератаках на супутниковий інтернет, зокрема технологію Starlink
Що відомо
- Заражені ресурси використовуються для перенаправлення користувачів на шахрайські сторінки та різні шкідливі сайти.
- За даними експертів, в цілому компрометації вже піддалися понад 6600 сайтів.
- Шкідливий код впроваджується в різні файли зламаних сайтів, бази даних і базові файли WordPress.
- Зловмисники намагаються помістити власний шкідливий код в будь-які файли формату .js, що містять в своєму імені "jQuery".
- При цьому він здатен уникнути виявлення і приховати свою активність.
- Так, впровадження коду на зламаному сайті створює новий елемент скрипта з доменом legendtable[.] com як джерело.
- Цей домен звертається до другого зовнішнього домену – local[.]drakefollow[.] com, який звертається до іншого.
- Таким чином створюється цілий ланцюжок, через який проходить відвідувач, поки не буде перенаправлений на який-небудь кінцевий шкідливий ресурс.
Перед тим як потрапити на кінцеву цільову сторінку, деякі відвідувачі потрапляють на фальшиву сторінку з CAPTCHA, яка намагається змусити їх підписатися на push-повідомлення зі шкідливого сайту.
Якщо людина натисне на підроблену CAPTCHA, вона буде отримувати небажану рекламу, навіть якщо сайт не відкритий, а реклама буде виглядати так, ніби вона виходить з операційної системи, а не з браузера. Також подібні приховані маневри з push-повідомленнями пов'язані з одним з найбільш поширених способів шахрайства з "технічною підтримкою". Коли користувача інформують про те, що його комп'ютер заражений вірусом або працює занадто повільно, а щоб розв'язати проблему, слід зателефонувати за безкоштовним номером,
— кажуть експерти.
Дослідники кажуть, що для початкової компрометації сайтів на WordPress зловмисники використовують численні уразливості в плагінах і темах WordPress, які виявляються регулярно.
Наразі неясно, чи вживає компанія яких-небудь заходів для закриття усіх дір у коді.