Тысячи сайтов под управлением WordPress были взломаны в течение последнего месяца. Злоумышленники применяют индивидуальную технику внедрения вредоносного кода для переадресации посетителей сайта, однако выводят трафик в одну и ту же криминальную сеть. ИБ-специалисты считают, что для своих целей киберпреступники не используют уязвимости CMS, а эксплуатируют бреши некоторых ее плагинов.

Кампанию зафиксировали специалисты Malwarebytes. Эксперты выяснили, что злоумышленники внедряют сторонний код в теги заголовка, PHP-файлы, макросы JavaScript, а иногда и непосредственно в базу данных сайта. Целью взломщиков была принудительная переадресация посетителей взломанного сайта на криминальные ресурсы, промышляющие фишингом и распространением вредоносных программ.

Сеть сайтов, куда сливают трафик киберпреступники, использует фальшивые страницы поддержки Microsoft и убеждают пользователя позвонить по платному номеру якобы для разблокировки зараженного компьютера. Злоумышленники эксплуатируют новый и пока еще непропатченный баг браузера Chrome, чтобы помешать посетителю вредоносного ресурса закрыть активное окно.

Уязвимость, получившая название evil cursor, относится к части кода интернет-обозревателя, которая обрабатывает изображение указателя мыши. Инъекция вредоносного кода помещает курсор в прозрачную область размером 128х128 пикселей, и в результате посетитель кликает на совершенно другом участке экрана, нежели он ожидает.

По свидетельству экспертов, методы перехвата трафика, используемые в этой кампании, совпадают с алгоритмами мошеннической схемы EITest, ликвидированной в апреле этого года. Тогда интернациональной команде специалистов удалось подменить центральный сервер системы, обрабатывавшей более 2 млн операций в сутки. Сеть вредоносных сайтов не раз меняла специализацию и в разные годы занималась распространением эксплойт-пака Glazunov, трояна CliCool и шифровальщика Cerber.

Возможно, киберпреступники эксплуатируют уязвимость плагина Duplicator, которая может стать причиной компрометации сайта на WordPress. Исследователи сообщили о баге 29 августа — через пять дней после выхода патча. Тем не менее, сразу после раскрытия бреши злоумышленники начали сканировать Интернет в поисках устаревших версий дополнений.

Категории: Главное, Мошенничество, Уязвимости, Хакеры