Хакерское перенаправление трафика сайтов на базе Joomla через Test0.com/Default7.com

В сети наметился новый тренд атак на сайты под управлением Joomla и WordPress. Так исследовательская компания Sucuri рассказала об обнаруженной активной вредоносной кампании злоумышленников, которые внедряют в код взломанных сайтов редиректы, отправляя посетителей пострадавших ресурсов на вредоносные веб-сайты.

Злоумышленники взламывают ресурсы через многочисленные уязвимости в распространенных плагинах и расширениях или эксплуатируют баги в самих CMS старых версий, пользуясь тем, что администраторы не обновляют ПО своевременно. Также специалисты пишут, что порой атакующие используют легитимные учетные данные, полученные из иных источников.

После взлома злоумышленники добавляют в файл administrator/includes/help.php двенадцать строк прошедшего обфускацию кода. Когда исследователи Sucuri расшифровали вредоносный код, выяснилось, что злоумышленники с 15% шансом перенаправляют посетителя зараженного сайта на вредоносный адрес. Кроме того, в браузер жертвы добавляется файл cookie, который гарантирует, что атака не будет применена к этому же пользователю в ближайший год.

Редиректы ведут на сайты, использующие социальную инженерию и прикидываются фальшивой технической поддержкой. Кроме того, через перенаправления раздаются фейковые обновления для Flash и Java, которые содержат malware.

Список обнаруженных доменов:

  • default7 .com
  • test246 .com
  • test0 .com
  • distinctfestive .com
  • ableoccassion .com

Самый интересный сценарий, когда вы используете Internet Explorer. В этом случае редирект может выглядеть следующим образом:

default7 .com
 -> advertisementexample .com/d/p/test246.com?k=e88965c228fb1da3ff5ecff0d3034e7a.1462363771.823.1&r=
 -> maintainpc .soft2update .xyz/vtrescs?tyercv=5qe5FetFrItyco5HNTadzxMu9Nwdv__MlK_dmzyotoo.&subid=102860_bebd063b36f47778fce4592efccae37a&v_id=e5tsIAwpqr6ffJ2kShbqE1F3WXTIU4auGIx7jpVqifk.
 -> intva31 .saturnlibrary .info/dl-pure/1202331/31254524/?bc=1202331&checksum=31254524&ephemeral=1&filename=adobe_flash_player.exe&cb=-1388370582&hashstring=oZy9K7h7eaHC&usefilename=true&executableroutePath=1202245&stub=true

На данную вредоносную кампанию обратил внимание и известный эксперт Джером Сегура из компании Malwarebytes.

Очень похожую схему атак обнаружили исследователи компании eZanga, которые обнаружили вредоносный код MosQUito, атакующий ресурсы, работающие на базе WordPress или Joomla.

По материалам Sucuri и xakep.ru

Это интересно:

Добавить комментарий

Обновить
Защитный код

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Скачать Joomla! 3 Документация Joomla! CMS Свернуть

Новости портала

Новое в блогах

Видео