В сети появился новый вредоносный код под названием MosQUito. Об этом сообщила компания eZanga на страницах Softpedia. Хакеры взламывают сайты, на которые установлены WordPress или Joomla, и добавляют туда вредоносный код, после чего MosQUito начинает отправлять посетителей на другие адреса.
Принцип действия вредоносной программы прост — заменяются все упоминания минифицированной версии библиотеки jquery.min.js на путь к являющемуся частью MosQUito файлу jQuery.min.php.
jQuery.min.php следит за входящим трафиком, случайно выбирает некоторых посетителей и перенаправляет их на сомнительные сайты, которые находятся под контролем злоумышленников. Как правило, эти сайты покрыты рекламой, которая приносит им доход.
Подмена jQuery — не новый трюк. В прошлом его часто использовали нечистоплотные оптимизаторы, чтобы внедрять в страницы взломанных сайтов скрытые ссылки и накручивать поисковый рейтинг собственных доменов.
Специалисты предупреждает, что незамеченный MosQUito не просто уменьшает посещаемость заражённого сайта и вредит его репутации. Поисковики и рекламные системы могут счесть подозрительный редирект жульничеством и наложить на сайт санкции.
eZanga опубликовала список 9285 сайтов, на которых замечен MosQUito. Более сорока из них находятся в зоне ru. Список зараженных сайтов можно посмотреть в текстовом файле, который обновляет eZanga по адресу http://cdn.ezanga.com/downloads/mosquito_list.txt.
По материалам Softpedia и xakep.ru
