Злоумышленники атакуют сайты на базе WordPress с помощью нового вредоносного ПО
04.02.2016
ИБ-специалист SucuriДенис Синегубко обнаружил вредоносную кампанию, нацеленную на сайты на основе WordPress. Как сообщается в блоге компании, злоумышленники с помощью специального кода вставляют на ресурсы бэкдоры и повторно инфицируют даже очищенные от вредоносного ПО страницы.
Хакеры внедряют зашифрованный вредоносный код во все JavaScript-сценарии на целевых сайтах под управлением WordPress. По словам Синегубко, вредоносное ПО устанавливает множественные бэкдоры в различные файлы на web-сервере и регулярно обновляет встроенный код. В результате сайт оказывается постоянно инфицирован вредоносом, а попытки удаления вируса оказываются тщетными.
Опасности подвержены все JavaScript-сценарии на всех доменах в пределах одной и той же учетной записи хостинга. Для устранения угрозы понадобиться изолировать все сайты на учетной записи и удалить вредоносное ПО.
Вирус использует несколько вариаций зашифрованного кода с одинаковой структурой. На зараженных ПК устанавливается рекламный файл cookie, вставляющий на посещаемые сайты модифицированные невидимые фреймы <iframe>.
По словам Синегубко, злоумышленники активно используют технологию "затенения доменов". Преступники могут добавить вредоносные поддомены к легитимным доменам второго уровня. Подобные поддомены используются для распространения вредоносного ПО – например, набора эксплоитов Angler.
