Более 2000 сайтов Рунета взломано для распространения троянцев

Более 2000 сайтов Рунета взломано для распространения троянцев

Компания «Доктор Веб» предупреждает пользователей об участившихся случаях взлома веб-сайтов, посетители которых перенаправляются на интернет-ресурсы, распространяющие вредоносное ПО. В настоящее время можно говорить о нескольких тысячах случаев взлома. Число подвергшихся атаке сайтов продолжает интенсивно расти.

За последние несколько дней специалисты компании «Доктор Веб» зафиксировали более 2000 случаев взлома злоумышленниками веб-сайтов с целью распространения вредоносного ПО. Среди подвергшихся атаке ресурсов замечены достаточно популярные и посещаемые порталы.

Получив несанкционированный доступ к интернет-ресурсам, злоумышленники модифицируют работающие на сервере сценарии, в результате чего при открытии веб-страницы выполняется проверка user-agent пользователя. Если посетитель заходит на такой сайт со своего смартфона или планшета (т. е. его браузер работает на мобильной платформе), он перенаправляется на специально созданный интернет-ресурс. Большинство таких сайтов распространяют вредоносное программное обеспечение, в частности, Android.SmsSend.690.origin и Android.SmsSend.122.origin.

Троянские программы семейства Android.SmsSend представляют собой приложения, в процессе установки требующие отправить платное СМС-сообщение или ввести в соответствующую форму код, полученный во входящем сообщении, тем самым подписавшись на услугу, за предоставление которой со счета мобильного оператора периодически списывается некоторая сумма без ведома пользователя, сообщает drweb.com.

Аналитики компании «Доктор Веб» предполагают, что несанкционированный доступ к сайтам может осуществляться в результате кражи логина и пароля у администраторов сайтов (возможно, с применением троянских программ). В частности, пароли от FTP-клиентов могут быть украдены при помощи большого числа различных вредоносных приложений.

В настоящее время в Рунете зафиксировано более 2000 случаев взлома веб-сайтов с целью распространения троянцев семейства Android.SmsSend. Кроме того, специалисты компании «Доктор Веб» отмечают интенсивный рост числа ресурсов, подвергшихся атаке. Также было обнаружено порядка 250 инфицированных сайтов в украинском национальном домене .UA, среди которых имелись в том числе ресурсы правительственных организаций. Распространение вредоносного ПО осуществляется при поддержке партнерской программы Wapostap, ранее уже неоднократно замеченной в подобных инцидентах.

Администраторам и веб-дизайнерам, занимающимся разработкой, поддержкой и обновлением сайтов, настоятельно рекомендуется проверить загруженные на сервер сценарии (в частности, файл .htaccess) и в случае необходимости поменять логин и пароль для административного доступа к интернет-ресурсу.

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru