Уязвимость в плагине WordPress привела к массовому заражению веб-сайтов

Уязвимость в плагине WordPress привела к массовому заражению веб-сайтов

 

Исследователи в области безопасности из вирусной лаборатории компании AVAST Software сообщили о массовом заражении веб-ресурсов, созданных на базе популярной платформы WordPress. Распространению инфекции, посредством которой злоумышленник может получить доступ к конфиденциальным данным пользователей, способствовала уязвимость, найденная в необновленном плагине TimThumb.

Согласно источнику, в начале октября в вирусную лабораторию поступили сообщения от нескольких пользователей, зарегистрированных в сети CommunityIQ о наличии на ресурсе www[.]theJournal[.]fr (сайт журнала The Poitou-Charentes Journal) вредоносных программ (ВП). Кроме этого, владелец журнала напрямую связался с вендором и попросил выяснить причины, по которым для пользователей именно их продукта доступ на сайт заблокирован. Он так же отметил, что по результатам проверки ресурса с помощью внешнего сканера присутствие ВП не было выявлено.

В ходе исследования, проведенного группой специалистов AVAST VirusLab, подобные ВП были обнаружены и на других сайтах, созданных на базе WordPress.

По словам главного научного сотрудника вирусной лаборатории Яна Сермера, упомянутый ресурс является лишь частью огромной сети сайтов, попадая на которые, посетители тут же отправляются на веб-страницы с различным вредоносным контентом.

Дальнейшее расследование показало, что источником инфекции является PHP файл (UPD.PHP), попавший на сайт посредством уязвимости в плагине для редактирования изображений TimThumb. "Благодаря этому дефекту злоумышленники могут загружать и выполнять вредоносные PHP файлы в кэш – директории плагина, которые, в свою очередь, загружают другой нежелательный контент", поясняет г-н Сермер.

Анализ обнаруженного зловреда показал, что он был создан с помощью популярного в соответствующих кругах инструмента Blackhole Toolkit. В данном случае специалисты обнаружили бэкдор и несколько JavaScript - кодов, которые направляли посетителей на ресурс, где содержался пакет эксплойтов Blackhole exploit kit.

Например, с одного из скомпрометированных ресурсов, в общей сложности, было отправлено на вредоносные сайты 151000 посетителей. Однако по мере изучения проблемы, исследователи заблокировали действие вредоносных программ на 3500 ресурсах, инфицированных за первые три дня (28-31 августа). В сентябре, чистке подверглось еще 2515 сайтов.

"Рассматривая данный случай с сайтом журнала, очевидно, что инфекция была обнаружена благодаря пользователям, которые сообщили об этом владельцу. Сам ресурс управлялся третьими лицами. Поэтому", - советует он, - "иногда стоит лично проверять свой сайт на наличие ВП, а также не заблокирован ли он".

Исследователи в области безопасности из вирусной лаборатории компании AVAST Software сообщили о массовом заражении веб-ресурсов, созданных на базе популярной платформы WordPress. Распространению инфекции, посредством которой злоумышленник может получить доступ к конфиденциальным данным пользователей, способствовала уязвимость, найденная в необновленном плагине TimThumb.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru