Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

За прошедший месяц тысячи сайтов, находящиеся под управлением WordPress и Joomla! были скомпрометированы и перенаправляют пользователей с целью заражения вымогателем CryptXXX.

Все указывает на то, что распространение CryptXXX при помощи скомпрометированных сайтов началось 9 июня, а 3 июля наблюдались пики активности. Согласно Sucuri, по крайней мере, 2000 сайтов содержали вредоносный код, а реальная оценка будет в пять раз выше, так как данные поступали от сканера SiteCheck, который ограничен.

При перенаправлении пользователей используются домены realstatistics[.]info и realstatistics[.]pro. Затем набор эксплоитов Neutrino, который на данный момент занимает лидирующие позиции среди наборов эксплоитов, пытается использовать Flash или PDF-уязвимости на компьютере жертвы. Если это удается, то используя эти уязвимости, на компьютер жертвы загружается вымогатель CryptXXX.

Исследователи Forcepoint отметили, что вышеупомянутые домены, использующиеся для перенаправления пользователей, были замечены и ранее при распространении наборов эксплоитов Neutrino и RIG. Исследователи связывают эти домены с появившейся два года назад Blackhat-TDS – вредоносной системой распределения трафика.

Однако исследователям не удалось пока определить масштабы заражения и то, как именно были скопрометированны сайты. По данным 60% пострадавших сайтов используют устаревшие версии Joomla! и WordPress, но также не исключено, что при заражении использовались уязвимости в плагинах и расширениях.

«Когда CMS устарела, это говорит о многом в отношении владельца сайта. Если владелец не может поддерживать в актуальном состоянии ядро своего сайта, то можно с уверенностью заявить, что модули и расширения так же устарели. А из наших предыдущих исследований можно сделать вывод, что основные атаки направлены именно на наличие уязвимостей в сторонних плагинах и расширениях.», утверждают исследователи.

Имея в своем распоряжении тысячи скомпрометированных веб-сайтов, в том числе некоторые, связанные с безопасностью, например, PCI Policy Portal, злоумышленники могут атаковать десятки тысяч пользователей одновременно. Пару недель назад SentinelOne установили, что менее чем за три недели CryptXXX принес сумму в $50,000только на один Bitcoin-кошелек.

Очевидно, что злоумышленники нацелены на использование новейших, ныне топовых угроз. Это стало понятно после того, как они быстро перешли на набор эксплоитов Neutrino в прошлом месяце, сразу после того, как в прошлом занимающий топовые позиции Angler исчез с рынка. CryptXXX тоже быстро стал лидирующим вымогателем и получил многочисленные обновления за последние пару месяцев.

Наиболее последнее изменение в функционале вымогателя было обнаружено SANS Internet Storm Center – видоизменилась записка с требованиями и начал использоваться новый сайт для оплаты.

Кроме того, Лоуренс Абрамс из BleepingComputer установил, что CryptXXX больше не использует специальное расширение, добавляя его к зашифрованным файлам, а жертвы перенаправляются на специальный сайт для оплаты, называющийся Microsoft Decryptor. В отличие от предыдущего платежного сайта, новый не предоставляет пользователям возможности связаться с администрацией в случае, если возникли какие-либо вопросы по оплате.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru