Вредоносная кампания кейлоггеров заразила более 2 000 WordPress-сайтов

Вредоносная кампания кейлоггеров заразила более 2 000 WordPress-сайтов

Исследователи обнаружили более 2 000 сайтов на WordPress, зараженных кейлоггером, который загружается на странице входа в систему WordPress и устанавливает скрипт для майнинга криптовалюты.

Эксперты уже наблюдали подобную вредоносную кампанию в начале декабря 2017 года. Схема атаки достаточно проста — злоумышленники атакуют старые версии тем, плагинов и самого движка WordPress эксплойтом, пытающимся использовать уязвимости для внедрения вредоносного кода.

Сам вредоносный код состоит из двух частей. Для страницы входа в систему администратора код загружает кейлоггер, размещенный на стороннем домене. В качестве второй составляющей мошенники загружают популярный скрипт Coinhive, используемый для добычи Monero с помощью посетителей таких сайтов.

Киберпреступники загружают кейлоггер с домена cloudflare[.]solutions. Согласно опубликованному вчера компанией Sucuri отчету, мошенники теперь загружают кейлоггер из трех новых доменов: cdjs[.]online, cdns[.]ws и msdns[.]online. На основе данных, полученных от PublicWWW, более 2 000 сайтов загружают скрипты из этих трех доменов.

Владельцам веб-сайтов на WordPress рекомендуется чаще проверять наличие обновлений движка, плагинов и тем. Также нелишним будет проверять код сайта на наличие подозрительных скриптов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кросс-платформенный бэкдор PupyRAT атакует энергетический сектор Европы

Киберпреступники атакуют ключевые организации энергетического сектора Европы. В ходе кампаний используется бэкдор, который принято связывать с иранскими правительственными кибергруппировками.

О серьёзных атаках сообщили эксперты из Recorded Future: опасная вредоносная программа, ранее используемая иранскими хакерами, атакует европейский энергетический сектор.

Речь идёт о PupyRAT, кросс-платформенном RAT-трояне, который способен устанавливаться в системы Windows, Linux, macOS и Android. Основная часть кода PupyRAT написана на Python, после установки он открывает атакующему полный доступ к системе жертвы.

Неудивительно, что некие киберпреступники используют именно этот бэкдор, ведь его исходный код доступен любому на GitHub. В прошлом PupyRAT использовали две группировки: APT33 (также известна под именами Elfin, Magic Hound и HOLMIUM) и APT34 (OilRIG). Эти группы тоже атаковали энергетический сектор.

Команда Recorded Future обнаружила вредоносный трафик между установленным в системах организаций PupyRAT и командным сервером (C&C). Этот обмен данными, в который был вовлечён почтовый сервер одной европейской организации энергетического сектора, проходил с ноября 2019 года по 5 января 2020-го.

Исследователям не удалось связать эти атаки с иранскими хакерами — для этого не нашлось нужного количества доказательств.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru