Хакеры спрятали команды для WordPress-зловреда в комментариях Steam

Екатерина Быстрова 02 Июня 2026 - 20:33

...

Хакеры спрятали команды для WordPress-зловреда в комментариях Steam

Исследователи GoDaddy обнаружили необычную вредоносную кампанию, жертвами которой стали почти 2000 сайтов на WordPress. Вместо традиционной инфраструктуры управления злоумышленники использовали комментарии в профилях Steam Community.

Схема выглядит настолько странно, что сначала напоминает шутку. Однако всё вполне серьёзно.

После заражения WordPress-сайта вредоносный код обращался к определённым профилям Steam и считывал комментарии пользователей. На первый взгляд они выглядели как обычный текст или даже ASCII-арт. Но внутри были спрятаны невидимые Unicode-символы.

Именно в этих символах злоумышленники кодировали полезную нагрузку. Специальный декодер игнорировал видимый текст, извлекал скрытые символы, преобразовывал их в бинарные данные и восстанавливал команду для дальнейшего заражения.

По сути, комментарии Steam превратились в своеобразный центр управления вредоносной инфраструктурой.

После расшифровки сайт получал адрес внешнего сервера и загружал оттуда JavaScript под видом обычных библиотек. Для маскировки использовались названия вроде asahi-jquery-min-bundle или lodash.core.min.js, чтобы не вызывать подозрений у администраторов.

Финальной стадией атаки становилась установка бэкдора. Он позволял злоумышленникам удалённо выполнять PHP-код через специально сформированные POST-запросы и фактически получать контроль над сайтом.

По данным GoDaddy, кампания действует как минимум с июля 2025 года. Всего специалисты обнаружили признаки заражения примерно на 1980 WordPress-ресурсах.

Как именно происходило первоначальное заражение, пока неизвестно. Среди возможных вариантов называются украденные учётные данные администраторов, компрометация доступа по FTP / SFTP, уязвимости в темах и плагинах WordPress или атаки через цепочки поставок.

Отдельного внимания заслуживает уровень маскировки. Вредоносный код использовал обфускацию, случайные имена функций, стандартные API WordPress и даже фальшивые механизмы логирования. Всё это помогало ему сливаться с легитимной активностью сайта.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Июня 2026 - 17:07

Корпорации Security Vision

Security Vision 5 научилась тестировать правила корреляции до запуска

Компания Security Vision выпустила очередное обновление платформы Security Vision 5. В новом релизе разработчики сделали акцент на доработке механизмов корреляции событий, автоматизации процессов и упрощении администрирования системы.

Одним из самых заметных изменений стало появление встроенного тестирования правил корреляции. Теперь специалисты могут проверить работу правила ещё на этапе настройки, не дожидаясь появления реальных событий в инфраструктуре. Для этого в редакторе появилась отдельная вкладка «Тестирование».

Кроме того, платформа научилась работать с правилами в формате Sigma. Для них добавлена автоматическая проверка кода, а сами правила можно экспортировать и импортировать через YAML-файлы. Это упрощает перенос настроек между Security Vision и другими системами, поддерживающими Sigma.

Разработчики также расширили возможности автоматизации. Теперь при запуске рабочих процессов из графа объектов можно переопределять входные параметры в зависимости от конкретного сценария. Проще говоря, один и тот же процесс можно использовать в разных условиях без создания множества его копий.

Ещё одно изменение касается обработки данных. В механизмах парсинга появились динамические источники данных, включая переменные и входные параметры. Это позволяет строить более гибкие сценарии обработки информации и использовать данные, полученные непосредственно во время выполнения автоматизированных процессов.

Обновления затронули и пользовательский интерфейс. В новой версии переработаны редакторы объектов, справочников и карточек. Настройка структуры данных стала более удобной, а управление отображением карточек — более наглядным.

Изменения получили и инструменты развертывания платформы. В мастер установки добавили возможность заранее указывать внешний URL для сервисов, что упрощает настройку в сложных инфраструктурах. Также появились дополнительные параметры командной строки, включая просмотр версии платформы и справочную информацию по установке.

В итоге обновление получилось скорее инфраструктурным, чем визуальным. Новые функции ориентированы на специалистов, которые занимаются настройкой корреляции, автоматизацией процессов и сопровождением платформы в крупных ИТ- и ИБ-проектах.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!