Новый эксплоит атакует сайты, работающие на базе Wordpress

Александр Панасенко 31 Января 2012 - 06:18

...

ИТ-компания M86 Labs предупредила пользователей и веб-издателей об обнаружении новой атаки, направленной на блоги, функционирующие на базе платформы Wordpress. Согласно сообщению компании, новый набор эксплоитов, известный как Phoenix, получил ряд возможностей, направленных на эксплуатацию уязвимости, выявленной в блог-платформе Wordpress 3.2.1.

M86 Labs отмечает, что сейчас в результате работы этого эксплоита были поражены несколько сотен сайтов, а сам опасный код в руках злоумышленников находится уже несколько дней, передает cybersecurity.

Набор эксплоитов Phoenix изначально был создан для автоматизированного заражения целевых систем. Он позволяет распространителям вредоносных кодов автоматически внедрять их коды на пораженные сайты. В случае посещения пользователем зараженного сайта, размещенный на нем код пытается выполнить ряд действий, опробовав различные методы атак против современных браузеров и популярных инструментов, таких как Java, размещая троянское ПО, даунлоадеры, клавиатурные шпионы и др.

Новая атака на Wordpress создана с тем, чтобы у атакующих была возможность быстро скомпрометировать сайты, находящиеся в белых списках URL-фильтров и провести атаку незаметно для систем предупреждения браузеров. Также на всех взломанных Wordpress-сайтах размещается дополнительная страница, перенаправляющая пользователя на внешний сайт, где также совершается атака.

"Посещение любой из страниц на зараженном сайте переадресует пользователя на вредоносный сервер, но не инфицирует пользовательский компьютер напрямую", - говорит компания в своем отчете. "Главная мотивация атакующих - обойти репутационные URL-фильтры браузеров, спам-фильтры и другие меры безопаcности, чтобы вручить пользователю вредоносный код".

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 09:45

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство F6

PhantomCore прикрылась визитом делегации из КНДР для атак на заводы

В апреле кибергруппировка PhantomCore применила новую тактику в кампании по распространению зловредов. Злоумышленники рассылали письма от имени МИД с сообщением о визите делегации из КНДР. Основной целью атаки стали промышленные предприятия. Вредоносная рассылка велась на протяжении апреля и была нацелена преимущественно на промышленные компании.

Как сообщают специалисты компании «Эфшесть» / F6, письма отправлялись с фейкового адреса, замаскированного под МИД. В них содержалось уведомление о визите делегации из КНДР для «ознакомления с действующими производственными технологиями».

К письмам были приложены файлы. Один из них маскировался под письмо руководителю, другой содержал якобы инструкции от МИД с деталями и порядком проведения визита. На деле эти документы служили приманкой и использовались как контейнеры для распространения вредоносного приложения.

«При запуске этих файлов происходит заражение компьютера пользователя трояном удалённого доступа, который позволяет злоумышленникам собирать информацию о заражённой системе, похищать из неё файлы и выполнять различные команды», — приводит компания подробности о зловреде.

Группировка PhantomCore заявила о себе в 2024 году. Однако некоторые образцы вредоносного кода, которые она использовала, как показал анализ F6, датируются ещё 2022 годом.

Изначально PhantomCore занималась кибершпионажем и кибердиверсиями, связанными с уничтожением данных, однако также проводила финансово мотивированные атаки с использованием шифровальщиков. Отличительной особенностью группировки считается применение зловредов собственной разработки и нестандартных способов их доставки. В качестве целей PhantomCore в основном выбирает российские и белорусские компании.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!