Исследователь под никнеймом Дерек с портала MyOnlineSecurity обнаружил, что один из сайтов, принадлежащих производителю сетевого оборудования Netgear, заражен. Однако компания не успела отреагировать на эту информацию — ситуацию взял в свои руки неизвестный активист под ником Vigilante.

По словам Дерека, на зараженный сайт его привели спам-сообщения, содержащие ссылки на сайт WiFiFamily — блог компаний Netgear и AT&T на CMS WordPress. Автор поста убедился, что HTML-файлы скомпрометированы, а доступ к папке, в которой они хранились, оказался публичным. Более того, на сайте публиковались спам-посты от лица администраторов и рядовых пользователей, чьи аккаунты были взломаны.

В своем блоге на MyOnlineSecurity Дерек продемонстрировал, что в спаме содержится ссылка, которая хостится в блоге Netgear и перенаправляет на сайт фальшивой техподдержки. Жертве демонстрируется экран с сообщением, что компьютер заражен банкером Zeus и пользователю необходимо связаться по телефону с «техподдержкой Microsoft». Ссылки также перенаправляют пользователей на порносайты, мошеннические ресурсы и другие вредоносные страницы.

Судя по временным меткам, сайт скомпрометировали еще в 2015 году — практически сразу же после появления. Дерек предпринял попытку связаться с представителями Netgear и администраторами ресурса, но до того, как компания успела отреагировать, запись в блоге и твиты исследователя увидел пользователь Vigilante.

Он связался с Дереком в комментариях и сообщил, что решил проблему. По словам активиста, он нашел PHP-шелл и удалил папку Uploads. Сайт и вправду стал безопасным, но в то же время, как подчеркнул Дерек, поступок Vigilante идет против закона.

«Я не могу приветствовать подобные действия. Я понимаю, что вы сделали это в интересах ничего не подозревающих пользователей, которые переходят по вредоносным ссылкам, но вы также удалили цепочку улик и все свидетельства о проблемах с сайтом», — ответил исследователь на комментарий Vigilante.

Дерек напомнил, что единственным законным способом повлиять на ситуацию остается информирование владельцем сайтов о проблеме.

На данный момент сайт WiFiFamily удален из публичного доступа.

Категории: Кибероборона, Хакеры