Хакеры атакуют Wordpress с целью распространения вредоносной рекламы

Александр Панасенко 04 Февраля 2016 - 14:14

...

Компания Sucuri сообщает, что ресурсы, работающие под управлением WordPress, в очередной раз стали мишенью для хакеров. Против сайтов на базе популярной CMS развернута масштабная кампания, цель которой: распространение вредоносной рекламы.

Между тем команда разработчиков WordPress выпустила версию 4.4.2, устраняющую 17 багов и две уязвимости.

Эксперт компании Sucuri Денис Синегубко (Denis Sinegubko) рассказал о масштабной кампании, направленной против ресурсов на базе WordPress. Злоумышленники заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код.

Если несколько сайтов размещаются на хостинге под одним аккаунтом, заражены окажутся они все; данная техника носит название cross-site contamination. Обойтись очисткой от малвари только одного сайта не получится, придется изолировать каждый ресурс отдельно и чистить их все последовательно.

Также атакующие оставляют за собой череду бэкдоров, которые размещаются в разных местах веб-сервера. Бэкдоры используются для постоянного обновления кода вредоносных инъекций в .js-файлах, а также для повторного перезаражения ресурса после его очистки. Очевидно, с бэкдорами специалисты Sucuri еще не разобрались до конца, так как никакой информации о том, где их искать, в отчете нет, передает xakep.ru.

Зараженные сайты используются для отображения вредоносной рекламы. Фальшивые баннеры инфицируют пользователей малварью, при помощи эксплоит кита Nuclear. Реклама, загруженная атакующими, всегда имеет ID Twiue123.

Компания Google уже отправила в черный список все домены, через которые злоумышленник распространял код рекламы. Компания Sucuri сообщает, что домены были зарегистрированы на некого Vasunya и email-адрес valera.valera-146@yandex.ru. Первый домен был создан 22 декабря 2015 года, последний известный – 1 февраля 2016 года. Достаточно необычно, но все вредоносные домены ведут к облакам Digital Ocean, где малварь можно встретить нечасто: 46.101.84.214, 178.62.37.217, 178.62.37.131, 178.62.90.65.

Между тем 2 февраля 2016 года была представлена версия WordPress 4.4.2. Обновление для самой популярной CMS в мире исправляет 17 различных багов, а также две достаточно серьезные проблемы с безопасностью. Подробной информации об уязвимостях мало, так как команда WordPress в последнее время предпочитает придерживать информацию такого рода, давая администраторам сайтов время обновиться.

Известно, что первую брешь обнаружил датский исследователь Ронни Скансинг (Ronni Skansing). Подробностей о данной проблеме пока нет, известно только, что датчанин нашел уязвимость SSRF (Server Side Request Forgery).

Вторая проблема была найдена независимым ИБ-экспертом из Индии Шайлешем Сутаром (Shailesh Suthar). Сутар обнаружил Open Redirect баг во фреймворке WordPress. Известно, что проблема как-то связана со страницей авторизации. Уязвимость представляет опасность практически для всех предыдущих версий CMS. Эксплуатируя данную брешь, атакующий может перенаправить свою жертву на любой внешний веб-сайт.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 31 Октября 2025 - 14:39

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники зовут россиян на фальшивые свидания через сайты-двойники

В России появился новый вариант старой схемы FakeDate — теперь аферисты зовут жертв не только в кино или на стендап, но и в музеи, оперу и даже на романтические прогулки на лошадях. Об этом сообщили аналитики компании F6, которая фиксирует рост активности мошенников перед новогодними праздниками.

По данным F6, злоумышленники создают сайты-двойники популярных билетных сервисов, предлагая купить билеты на несуществующие мероприятия. Всего выявлено не менее семи скам-групп, а три из них с начала 2025 года уже похитили у россиян более 330 миллионов рублей.

Сценарий обмана начинается стандартно. Мошенник под видом привлекательной девушки размещает анкету на сайте знакомств или в телеграм-чате. Для убедительности он использует реальные фотографии, обработанные нейросетью, а иногда — голосовые и видеосообщения от подставных моделей.

После короткого общения «девушка» предлагает сходить на свидание и присылает ссылку на покупку билетов.

Сайт, на который попадает пользователь, выглядит почти как настоящий: там можно выбрать дату, место и оплатить «билеты». После оплаты сценарий всегда один — «партнёрша» либо исчезает, либо пишет, что встреча отменяется и предлагает оформить возврат, в ходе которого с карты списывают деньги ещё раз.

В F6 отмечают, что помимо денег жертвы теряют и личные данные — имя, номер телефона, почту и банковскую информацию, которые потом могут использовать для новых атак.

По словам аналитика компании Вячеслава Судакова, за последние месяцы количество подобных схем растёт, а пик активности приходится на праздники — в декабре, феврале и марте.

«Мошенничество с фальшивыми свиданиями — простой и доходный бизнес. Все инструменты для него уже автоматизированы, поэтому новичку достаточно следовать инструкции», — добавляет эксперт.

Напомним, ранее мы писали, что мошенники заработали на фальшивых свиданиях почти 10 млн рублей.