Новый эксплоит атакует сайты, работающие на базе Wordpress
Главная » Новости

Новый эксплоит атакует сайты, работающие на базе Wordpress

Александр Панасенко 31 Января 2012 - 06:18
...

ИТ-компания M86 Labs предупредила пользователей и веб-издателей об обнаружении новой атаки, направленной на блоги, функционирующие на базе платформы Wordpress. Согласно сообщению компании, новый набор эксплоитов, известный как Phoenix, получил ряд возможностей, направленных на эксплуатацию уязвимости, выявленной в блог-платформе Wordpress 3.2.1.



M86 Labs отмечает, что сейчас в результате работы этого эксплоита были поражены несколько сотен сайтов, а сам опасный код в руках злоумышленников находится уже несколько дней, передает cybersecurity.

Набор эксплоитов Phoenix изначально был создан для автоматизированного заражения целевых систем. Он позволяет распространителям вредоносных кодов автоматически внедрять их коды на пораженные сайты. В случае посещения пользователем зараженного сайта, размещенный на нем код пытается выполнить ряд действий, опробовав различные методы атак против современных браузеров и популярных инструментов, таких как Java, размещая троянское ПО, даунлоадеры, клавиатурные шпионы и др.

Новая атака на Wordpress создана с тем, чтобы у атакующих была возможность быстро скомпрометировать сайты, находящиеся в белых списках URL-фильтров и провести атаку незаметно для систем предупреждения браузеров. Также на всех взломанных Wordpress-сайтах размещается дополнительная страница, перенаправляющая пользователя на внешний сайт, где также совершается атака.

"Посещение любой из страниц на зараженном сайте переадресует пользователя на вредоносный сервер, но не инфицирует пользовательский компьютер напрямую", - говорит компания в своем отчете. "Главная мотивация атакующих - обойти репутационные URL-фильтры браузеров, спам-фильтры и другие меры безопаcности, чтобы вручить пользователю вредоносный код".

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Майк Уолтц использовал клон Signal: утекли чаты и логины сотрудников
Новость
Майк Уолтц использовал клон Signal: утекли чаты и логины сот...
Фишинговая атака на CRM: пострадали 25 компаний малого и среднего бизнеса
Новость
Фишинговая атака на CRM: пострадали 25 компаний малого и сре...
В китайском Шэньчжэне вышел на патрулирование робот-полицейский
Новость
В китайском Шэньчжэне вышел на патрулирование робот-полицейс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.