Необычный способ скрыть вредоносный скрипт обнаружили специалисты компании Sucuri. Злоумышленники поместили код программы-спамера в фальшивый лицензионный ключ для темы оформления WordPress. Эксперты затрудняются сказать, каким образом файл был доставлен в инфицированную систему, но предполагают, что причиной заражения является скомпрометированный аккаунт администратора или плагин, загруженный с ненадежного ресурса.

О подозрительных ссылках, появившихся на страницах одного из сайтов, ИБ‑специалистам сообщил администратор ресурса. Проведенное расследование показало, что источником вредоносного кода являлся файл functions.php, расположенный в служебной папке с темами оформления WordPress.

Содержимое объекта выглядело как лицензионный токен, используемый некоторыми авторами для верификации своих разработок. Как правило, им снабжают платные темы. По словам экспертов Sucuri, просмотреть зловреда в лицензионном ключе очень легко: никто не предполагает, что подобный объект может быть заражен.

Как выяснили аналитики, фальшивый токен представляет собой обфусцированный вредоносный скрипт. Чтобы замаскировать его, злоумышленники использовали бинарный алгоритм шифрования base64. Восстановив код зловреда, специалисты выяснили, что в него вшиты рекламные ссылки, ведущие на сайты с каталогами промокодов и сервисов микрокредитования. Исследователи подчеркивают, что адреса целевых ресурсов в других экземплярах скрипта могут отличаться.

Код вредоносной программы содержит алгоритм, блокирующий показ спама отдельным поисковым системам и анализаторам ссылок, в том числе Yandex, Baidu, Linkpad, Prodvigator и Semrush. По мнению исследователей, это сделано, чтобы жертва не увидела предупреждение о наличии вредоносных объектов на веб-ресурсе.

Киберпреступники заинтересованы в том, чтобы вредоносный код как можно дольше оставался незамеченным. С этой целью его, в частности, внедряют в объекты, в которых его с меньшей вероятностью будут искать. Так, несколько дней назад исследователи обнаружили более 190 тыс. рекламных объявлений с внедренным скриптом для загрузки трояна Shlayer. Как заявили эксперты, код зловреда, атака которого затронула около миллиона пользователей, был добавлен в изображение при помощи метода стеганографии.

Категории: Вредоносные программы, Спам