Зловредный WP-плагин создает фейковые магазины для манипуляции SEO

Татьяна Никитина 24 Ноября 2020 - 15:48

Домашние пользователи

...

Взломщики сайтов WordPress внедряют в них скрытые страницы интернет-магазинов и добавляют плагин, перенаправляющий посетителей на эти фальшивки. Подобные изменения ухудшают рейтинг сайта в поисковых системах, что может быть использовано для вымогательства.

Исследователи из компании Akamai проанализировали текущие атаки и обнаружили, что злоумышленники получают доступ к сайтам брутфорсом, подбирая логин и пароль к аккаунту администратора. Код внедряемого на сервер расширения WordPress сильно обфусцирован; после установки этот вредонос работает как прокси, перенаправляя весь входящий трафик на С2-сервер, с которого подаются команды на выдачу поддельных страниц.

Для выполнения своих задач вредоносный плагин переписывает индексный файл index.php, добавляя функцию проверки запросов на наличие строки nobotuseragent, подтверждающей, что источник запроса — не робот. Зловред также добавляет на сайт файл .htaccess в обеспечение редиректа на страницы, имитирующие витрину магазина. Эксперты насчитали более 7 тыс. таких фальшивок, созданных злоумышленниками на их сайте-ловушке.

Ход атаки при этом выглядит следующим образом:

при заходе на зараженный сайт браузер пользователя отправляет соответствующий запрос;
запрос на просмотр сайта перенаправляется на C2-сервер;
если источник запроса достоверен, с сервера подается команда на выдачу HTML-файла с поддельной страницей;
сайт отвечает на запрос браузера, отдавая указанную злоумышленниками страницу.

Зловредный плагин также генерирует карты взломанного сайта (XML-файлы Sitemap), содержащие информацию как об аутентичных, так и о поддельных страницах. Создав такой файл, вредонос запускает индексацию сайта поисковой системой Google, а затем удаляет содержимое Sitemap, чтобы на жестком диске не осталось следов вредоносной деятельности. На ловушке Akamai после заражения было создано шесть разных карт сайта, доступ к которым зловред ограничил с помощью файла robots.txt.

Вся процедура выглядит достаточно безобидной, однако исследователи предупреждают, что ее можно использовать для подрыва репутации сайта, а также для реализации вымогательских схем. Злоумышленники могут умышленно снизить рейтинг сайта в поисковых системах, а затем потребовать выкуп за его возврат на прежние позиции в поисковой выдаче.

«Подобный метод снижает планку для потенциальных преступников, — пишут эксперты. — Начать можно с пары взломанных хостов, а потом будет где развернуться. В интернете присутствуют сотни тысяч заброшенных установок WordPress, а миллионы других используют устаревшие плагины или слабые пароли».

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Яков Шпунт 09 Декабря 2025 - 11:22

Android Трояны Домашние пользователи F6

Android-трояны в России маскируют под приложения для таксистов и курьеров

Специалисты F6 сообщили о новой мошеннической схеме, затрагивающей таксистов, курьеров и автолюбителей. Под видом «радаров коэффициентов» и приложений, помогающих ориентироваться на дорогах, злоумышленники распространяют через Telegram трояны для Android. Цель проста — получить доступ к банковским данным жертвы и оформить на неё кредиты.

С октября 2025 года мошенники используют как минимум девять телеграм-каналов для распространения поддельных приложений. Средний ущерб на одного пострадавшего — 11,2 тысячи рублей.

Первое выявленное приложение нацелено на профессиональных водителей. В названии — слова «радар» и «кэф», то есть повышенный коэффициент стоимости поездки. Идея выглядит заманчиво: приложение якобы показывает спрос в разных районах, предсказывает «точку Б» и даже цену поездки — что якобы недоступно в официальных сервисах.

Реклама таких приложений активно распространяется в чатах таксистов и курьеров. Ссылки ведут на телеграм-канал, где лежит APK-файл.

После установки программа запрашивает опасный набор разрешений — от СМС до вызовов, затем просит ввести данные банковской карты для «бесплатной подписки». Стоит это сделать — и злоумышленники получают возможность списывать деньги, а также оформлять микрозаймы от имени жертвы.

Второе приложение маскируется под предупреждающую систему о камерах, постах ДПС, пробках и авариях. В рекламе его называют «уникальным» и «не имеющим аналогов». Чтобы ускорить установку, мошенники обещают 1000 рублей каждому, кто скачает приложение в течение 72 часов, а еще — 90 дней «VIP-подписки».

Схема та же: реклама → телеграм-канал → APK-файл → разрешения → кардинг и кредиты на имя пользователя.

Это не первая кампания группы: ранее в 2025 году специалисты F6 и RuStore заблокировали более 600 доменов, распространявших DeliveryRAT под видом популярных приложений для доставки, маркетплейсов, банковских сервисов и других категорий.

По словам Евгения Егорова, ведущего аналитика Digital Risk Protection F6, мошенники активно адаптируют свои схемы под конкретные аудитории:

«На этот раз в опасной зоне оказались таксисты, доставщики, курьеры и обычные водители. Киберпреступники постоянно ищут новые способы обмана, даже если старые работают отлично».

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »