В сети наметился новый тренд атак на сайты под управлением Joomla и WordPress. Так исследовательская компания Sucuri рассказала об обнаруженной активной вредоносной кампании злоумышленников, которые внедряют в код взломанных сайтов редиректы, отправляя посетителей пострадавших ресурсов на вредоносные веб-сайты.
Злоумышленники взламывают ресурсы через многочисленные уязвимости в распространенных плагинах и расширениях или эксплуатируют баги в самих CMS старых версий, пользуясь тем, что администраторы не обновляют ПО своевременно. Также специалисты пишут, что порой атакующие используют легитимные учетные данные, полученные из иных источников.
После взлома злоумышленники добавляют в файл administrator/includes/help.php двенадцать строк прошедшего обфускацию кода. Когда исследователи Sucuri расшифровали вредоносный код, выяснилось, что злоумышленники с 15% шансом перенаправляют посетителя зараженного сайта на вредоносный адрес. Кроме того, в браузер жертвы добавляется файл cookie, который гарантирует, что атака не будет применена к этому же пользователю в ближайший год.
Редиректы ведут на сайты, использующие социальную инженерию и прикидываются фальшивой технической поддержкой. Кроме того, через перенаправления раздаются фейковые обновления для Flash и Java, которые содержат malware.
Список обнаруженных доменов:
- default7 .com
- test246 .com
- test0 .com
- distinctfestive .com
- ableoccassion .com
Самый интересный сценарий, когда вы используете Internet Explorer. В этом случае редирект может выглядеть следующим образом:
default7 .com
-> advertisementexample .com/d/p/test246.com?k=e88965c228fb1da3ff5ecff0d3034e7a.1462363771.823.1&r=
-> maintainpc .soft2update .xyz/vtrescs?tyercv=5qe5FetFrItyco5HNTadzxMu9Nwdv__MlK_dmzyotoo.&subid=102860_bebd063b36f47778fce4592efccae37a&v_id=e5tsIAwpqr6ffJ2kShbqE1F3WXTIU4auGIx7jpVqifk.
-> intva31 .saturnlibrary .info/dl-pure/1202331/31254524/?bc=1202331&checksum=31254524&ephemeral=1&filename=adobe_flash_player.exe&cb=-1388370582&hashstring=oZy9K7h7eaHC&usefilename=true&executableroutePath=1202245&stub=true
На данную вредоносную кампанию обратил внимание и известный эксперт Джером Сегура из компании Malwarebytes.
Очень похожую схему атак обнаружили исследователи компании eZanga, которые обнаружили вредоносный код MosQUito, атакующий ресурсы, работающие на базе WordPress или Joomla.
По материалам Sucuri и xakep.ru
