Хакеры взломали тысячи сайтов на WordPress: теперь они перенаправляют на мошеннические страницы
Источник:
SucuriИсследователи из компании Sucuri обнаружили масштабную кампанию, в рамках которой хакеры внедряют вредоносный код JavaScript на скомпрометированные сайты под управлением WordPress.
WordPress – это система управления содержимым сайтов. Она имеет открытый исходный код и в силу своей относительной простоты широко применяется для создания разнообразных блогов, сервисов, сложных ресурсов. Встроенная система тем и плагинов позволяет конструировать на основе WordPress практически любые веб-проекты.
Интересно Россию обвинили в кибератаках на спутниковый интернет, в частности, технологию Starlink
Что известно
- Зараженные ресурсы используются для перенаправления пользователей на мошеннические страницы и разные вредоносные сайты.
- По данным экспертов, в общей сложности компрометации уже подверглись более 6600 сайтов.
- Вредоносный код внедряется в разные файлы взломанных сайтов, базы данных и базовые файлы WordPress.
- Злоумышленники пытаются поместить свой вредоносный код в любые файлы формата .js, содержащие в своем имени "jQuery".
- При этом он способен избежать обнаружения и скрыть свою активность.
- Так, использование кода на взломанном сайте создает новый элемент скрипта с доменом legendtable[.] com как источник.
- Этот домен обращается ко второму внешнему домену – local[.]drakefollow[.] com, который обращается к другому.
- Таким образом создается целая цепочка, через которую проходит посетитель, пока не будет перенаправлен на какой-нибудь конечный вредоносный ресурс.
Перед тем как попасть на конечную целевую страницу, некоторые посетители попадают на ложную страницу из CAPTCHA, которая пытается заставить их подписаться на push-сообщения с вредоносного сайта.
Если человек нажмет на поддельную CAPTCHA, он будет получать нежелательную рекламу, даже если сайт не открыт, а реклама будет выглядеть так, будто она исходит из операционной системы, а не из браузера. Также подобные скрытые маневры с push-уведомлениями связаны с одним из наиболее распространенных способов мошенничества с "технической поддержкой". Когда пользователя информируют, что его компьютер заражен вирусом или работает слишком медленно, а чтобы решить проблему, следует позвонить по бесплатному номеру,
– говорят эксперты.
Исследователи говорят, что для первоначальной компрометации сайтов на WordPress злоумышленники используют многочисленные уязвимости в плагинах и темах WordPress, которые проявляются регулярно.
Пока неясно, предпринимает ли компания какие-либо меры для закрытия всех дыр в коде.