Операторов сайтов, использующих WordPress, предупреждают о новой вредоносной кампании, использующей эту платформу для распространения инфекции, которая пока плохо детектируется антивирусами.

Исследователи из Heimdal Security обнаружили сотни скомпрометированных сайтов, перенаправляющих пользователей на площадки Nuclear, мощного набора эксплойтов для уязвимых продуктов Adobe (Flash, Reader, Acrobat), а также для Internet Explorer и Microsoft Silverlight.

В конце ноября эксплойт-пак Nuclear был уличен в пособничестве распространителям Cryptowall; в данном случае целевой полезной нагрузкой является криптоблокер TeslaCrypt.

Этот зловред, как и его собратья, шифрует файлы на локальном диске и требует выкуп за ключ дешифрации. По оценке FireEye, в начале прошлого года вымогатели с его помощью за три месяца совокупно выручили $76,5 тыс — весьма скромную сумму в сравнении с доходами других «коллег по цеху», в частности хозяев CryptoLocker. В минувшем июле была обнаружена новая версия TeslaCrypt, маскирующаяся под своего более грозного собрата Cryptowall.

В новой, текущей TeslaCrypt-кампании злоумышленники, по свидетельству Heimdal, использовали пока не идентифицированную уязвимость на WordPress-сайтах для внедрения обфусцированного JavaScript. Этот вредоносный код перенаправляет посетителей в домен chrenovuihren, где размещена вредоносная реклама, которая, в свою очередь, направляет весь трафик на сервера Nuclear. Heimdal удалось выявить три IP-адреса, работающих как шлюзы: 159[.]203[.]24 [.] 40; 164[.]132[.]80 [.] 71; 162[.]243[.]77 [.] 214.

«Данная кампания использует несколько доменов для доставки вредоносного кода, посему активные серверы могут быстро сменяться в зависимости от используемого IP и результатов DNS-поиска», — пишут исследователи в блоге. Вредоносный код размещен в поддоменах chrenovuihren; Heimdal уже заблокировала более 85 доменов, активно используемых в текущей кампании. Первоначально их детектировали лишь два URL-сканера из коллекции VirusTotal.

За три дня до публикации находки Heimdal компания Sucuri сообщила об аналогичной масштабной кампании, использующей WordPress. Эксперты Heimdal предполагают, что за обеими атаками стоит одна и та же криминальная группа, однако доказать это пока не удалось.

Исследователи из Sucuri обнаружили, что злоумышленники внедрили вредоносный код в конец всех легитимных JavaScript-файлов на взломанных сайтах. Этот код атакует лишь новых посетителей, устанавливая куки сроком действия 24 часа и внедряя невидимый iFrame с «Admedia» или «advertising» в компоненте пути URL.

Heimdal призывает операторов WordPress обновить CMS-систему в кратчайшие сроки (новая версия была выпущена на прошлой неделе) и регулярно создавать резервные копии файловой системы. Регламентация резервирования с использованием разных носителей и своевременное обновление антивирусных баз — лучшие меры защиты от программ-шифровальщиков.

Категории: Вредоносные программы, Главное, Хакеры