11 000 сайтов на WordPress оказались заражены рекламным вредоносом

Тысячи сайтов WordPress были заражены неизвестным вариантом вредоносной программы, обнаружили исследователи кибербезопасности из компании Sucuri. Вредоносная программа перенаправляла посетителей на другой сайт, где загружалась реклама, размещенная на платформе Google Ads, принося прибыль владельцам сайта.Команда Sucuri обнаружила, что неизвестному субъекту угрозы удалось скомпрометировать почти 11 000 сайтов на базе WordPress.WordPress - это самая популярная в мире платформа для хостинга сайтов, которая в целом воспринимается как безопасная. Однако она также предлагает бесчисленное количество плагинов WordPress, некоторые из которых содержат уязвимости. Хотя исследователи не смогли точно определить уязвимость, использованную для доставки этой вредоносной программы, они предполагают, что создатели угрозы автоматизировали этот процесс и, вероятно, использовали все известные, непропатченные недостатки, которые им удалось найти.Принцип действия вредоносной программы прост: когда люди посещают зараженные сайты, они перенаправляются на другой сайт Q&A, на котором загружается реклама, размещенная на Google Ads. Таким образом, Google заставляет владельцев рекламных кампаний платить за просмотры, не подозревая, что эти просмотры на самом деле являются мошенническими.Sucuri отслеживает подобные кампании уже несколько месяцев. В конце ноября прошлого года исследователи заметили аналогичную кампанию, которая заразила около 15 000 сайтов WordPress. Разница между этими двумя кампаниями заключается в том, что в прошлогодней кампании злоумышленники не потрудились скрыть вредоносное ПО. На самом деле, они делали всё наоборот, устанавливая более 100 вредоносных файлов на каждый сайт.Однако в новой кампании злоумышленники приложили все усилия, чтобы скрыть существование вредоносной программы, говорят исследователи. Они также сделали вредоносное ПО несколько более устойчивым к контрмерам, сохраняя его на сайтах в течение более длительного времени.По словам исследователей, для защиты от подобных атак лучше всего поддерживать сайт и все плагины в актуальном состоянии, а также обеспечить безопасность панели wp-admin с помощью надежного пароля и многофакторной аутентификации. Те, кто уже заразился, должны изменить все пароли точек доступа и разместить сайт за брандмауэром.