Компания Sucuri сообщает, что ресурсы, работающие под управлением WordPress, в очередной раз стали мишенью для хакеров. Против сайтов на базе популярной CMS развернута масштабная кампания, цель которой: распространение вредоносной рекламы.
Между тем команда разработчиков WordPress выпустила версию 4.4.2, устраняющую 17 багов и две уязвимости.
Эксперт компании Sucuri Денис Синегубко (Denis Sinegubko) рассказал о масштабной кампании, направленной против ресурсов на базе WordPress. Злоумышленники заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код.
Если несколько сайтов размещаются на хостинге под одним аккаунтом, заражены окажутся они все; данная техника носит название cross-site contamination. Обойтись очисткой от малвари только одного сайта не получится, придется изолировать каждый ресурс отдельно и чистить их все последовательно.
Также атакующие оставляют за собой череду бэкдоров, которые размещаются в разных местах веб-сервера. Бэкдоры используются для постоянного обновления кода вредоносных инъекций в .js-файлах, а также для повторного перезаражения ресурса после его очистки. Очевидно, с бэкдорами специалисты Sucuri еще не разобрались до конца, так как никакой информации о том, где их искать,
Зараженные сайты используются для отображения вредоносной рекламы. Фальшивые баннеры инфицируют пользователей малварью, при помощи эксплоит кита Nuclear. Реклама, загруженная атакующими, всегда имеет ID Twiue123.
Компания Google уже отправила в черный список все домены, через которые злоумышленник распространял код рекламы. Компания Sucuri сообщает, что домены были зарегистрированы на некого Vasunya и email-адрес valera.valera-146@yandex.ru. Первый домен был создан 22 декабря 2015 года, последний известный – 1 февраля 2016 года. Достаточно необычно, но все вредоносные домены ведут к облакам Digital Ocean, где малварь можно встретить нечасто: 46.101.84.214, 178.62.37.217, 178.62.37.131, 178.62.90.65.
Между тем 2 февраля 2016 года была представлена версия WordPress 4.4.2. Обновление для самой популярной CMS в мире исправляет 17 различных багов, а также две достаточно серьезные проблемы с безопасностью. Подробной информации об уязвимостях мало, так как команда WordPress в последнее время предпочитает придерживать информацию такого рода, давая администраторам сайтов время обновиться.
Известно, что первую брешь обнаружил датский исследователь Ронни Скансинг (Ronni Skansing). Подробностей о данной проблеме пока нет, известно только, что датчанин нашел уязвимость SSRF (Server Side Request Forgery).
Вторая проблема была найдена независимым ИБ-экспертом из Индии Шайлешем Сутаром (Shailesh Suthar). Сутар обнаружил Open Redirect баг во фреймворке WordPress. Известно, что проблема как-то связана со страницей авторизации. Уязвимость представляет опасность практически для всех предыдущих версий CMS. Эксплуатируя данную брешь, атакующий может перенаправить свою жертву на любой внешний веб-сайт.
ВТБ официально объяснил сбой: причиной проблем с мобильным приложением и интернет-банком стала DDoS-атака на онлайн-сервисы кредитной организации. Пока пользователи пытались понять, почему не открывается «ВТБ Онлайн», банк разбирался с последствиями атаки.
В пресс-службе подтвердили, что из-за повышенной нагрузки клиенты могут сталкиваться с временными ограничениями в работе цифровых сервисов.
«Мы работаем над восстановлением доступности сервисов», — сообщили в ВТБ.
На время устранения последствий атаки клиентам рекомендовали пользоваться банкоматами для платежей и переводов. Также банк принес извинения за доставленные неудобства.
Судя по статистике сервисов мониторинга, проблемы оказались довольно массовыми. По данным Downdetector, 8 июня о сбоях сообщили более трех тысяч пользователей из 23 городов России. Чаще всего жалобы касались мобильного приложения.
Похожую картину зафиксировал и сервис «Сбой.рф». Там также насчитали свыше трех тысяч обращений за день. Больше всего сообщений поступило из Москвы, на которую пришлось около трети всех жалоб.
Интересно, что проблемы с сервисами ВТБ совпали по времени с другой громкой историей вокруг банка. Ранее внимание СМИ привлекло приложение «Сириус», которое неожиданно поднялось на третье место в рейтинге бесплатных приложений американского App Store.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
