English
Arabic
French
Spanish
Deutsch
Русский
Новая волна атак с внедрением баз данных ставит под угрозу сайты WordPress
Масштабная кампания использует взломанные сайты WordPress для перенаправления жертв на мошенничество с технической поддержкой, знакомства для взрослых, фишинг или атаки с попутной загрузкой. Хакеры, стоящие за ним, позаботились о том, чтобы их вредоносную полезную нагрузку было трудно обнаружить с помощью множественных перенаправлений и законных загрузок.
Всплеск активности
По словам исследователей Sucuri, произошел всплеск заражений веб-сайтов WordPress, связанных с вредоносным доменом violetlovelines[.]com.
- Кампания активна с 26 декабря 2022 года, и результаты PublicWWW показывают, что на данный момент она затронула более 5600 веб-сайтов.
- В последнее время кампания эволюционировала и постепенно перешла от мошеннических страниц мошеннических push-уведомлений CAPTCHA к рекламным сетям black hat.
- Эти вредоносные рекламные сети перенаправляют жертв на законные, подозрительные или вредоносные веб-сайты и обманом заставляют их загружать вредоносное ПО.
Различные уровни атак
Кампания проходит различные этапы развертывания скриптовых инъекций, системы управления трафиком (TDS), цепочек перенаправления и рекламных сетей.
- Злоумышленники используют два распространенных типа инъекций — простую инъекцию тега скрипта или инъекцию запутанного (obfuscated) JavaScript.
- Редирект ведет к скрипту на управляемых злоумышленником других поддоменах, который, в свою очередь, ведет к одному из нескольких доменов вредоносной рекламной сети или TDS.
- TDS служит рекламной сетью для зараженных сайтов WordPress, принадлежащих таким предприятиям, как игры, новости, электронная коммерция, лекарства и криптовалюта.
- Эти нежелательные объявления побуждают пользователей загружать законные приложения, такие как Clean Blocker и Crystal Blocker, или, вероятно, сомнительные расширения браузера, такие как PureTheWeb, Pureweb, Wind Blocker и Quantum Ad Blocker.
- Кроме того, эти объявления отображают для посетителей сайта поддельные предупреждения об обновлении браузера для Firefox, Google Chrome и Microsoft Edge.
Конечная цель
- Конечная цель этих объявлений — распространение вредоносного ПО для кражи сохраненных учетных данных, опустошения криптовалютных кошельков и перехвата открытых сеансов браузера на зараженных компьютерах.
- В одном случае злоумышленники распространяли Raccoon Stealer и захватили Twitter, Substack, Gmail, Discord и криптовалютные кошельки.
- Кроме того, злоумышленники активно используют платную рекламу, часто используя взломанные учетные записи Gmail и украденные данные кредитных карт, чтобы обманом заставить пользователей загрузить такое вредоносное ПО.
Советы по безопасности
Владельцам и пользователям веб-сайтов WordPress рекомендуется искать любые перенаправления через violetlovelines[.]com и на другие неожиданные домены. Эта кампания использует широкий спектр уязвимостей в темах и плагинах WordPress, поэтому пользователям рекомендуется как можно скорее исправить известные уязвимости.
