Хакеры атакуют WordPress с целью распространения вредоносной рекламы

417

Специалисты Sucuri сообщили, что сайты, основанные на популярном движке WordPress, в очередной раз стали целью хакеров. Против ресурсов развернута масштабная кампания, запущенная ради распространения вредоносной рекламы.

При этом разработчики WordPress анонсировали версию 4.4.2, в которой закрыли сразу 17 ошибок и две серьезные уязвимости.

Специалисты выяснили, что злоумышленники инфицируют все файлы JavaScript на хостинге, интегрируя в них вредоносный код. Если несколько ресурсов используют один аккаунт на хостинге, заражены окажутся все.

Данная схема заражения получила обозначение crosssite contamination. В этом случае очистить от вирусов только один сайт будет недостаточно. Необходимо изолировать сайты и проверять их последовательно.

Атакующие также оставляют на сервере набор бэкдоров. Файлы, сохраненные в разных местах сервера, используются для периодического обновления вредоносного кода в скриптах, а также для повторного инфицирования сайта после удаления вредоносного кода.

Полный анализ специалисты еще не закончили, поэтому подробная инструкция по удалению вредоносного кода пока отсутствует.

Зараженные сайты используются преступниками для демонстрации вредоносной рекламы. Поддельные баннеры эксплуатируют эксплоит кита Nuclear.

Корпорация Google уже занесла в черный список все домены, используемые для распространения опасной рекламы. Известно, что все домены зарегистрированы на одну электронную почту.

Специалистов удивило то, что все вредоносные домены указывают на облачный сервис Digital Ocean, в котором вирусы находят довольно редко.

Как уже упоминалось, последнее обновление CMS устраняет две серьезные уязвимости. Подробности пока не раскрываютсяэто распространенная практика, которая дает возможность администраторам сайтов обновить используемое ПО.

Первую брешь выявил исследователь Ронни Скансинг (Дания), подробности пока не опубликованы. Вторую уязвимость нашел Шайлеш Сутар (Индия). Известно, что ошибка связана с модулем авторизации.

ОСТАВЬТЕ ОТВЕТ