Неизвестная хакерская группировка развернула крупную киберпреступную кампанию против сайтов, созданных на WordPress. Злоумышленники интегрируют в веб-ресурсы скрипт, который использует браузеры простых пользователей/посетителей для осуществления распределенных атак типа «отказ в обслуживании» (DDoS-атаки) на украинские информационные ресурсы, сообщает издание Bleeping Computer.
Команда ИБ-экспертов MalwareHunterTeam обнаружила сайт на WordPress, который был скомпрометирован злоумышленниками для использования этого скрипта. Вредоносный скрипт был нацелен на 10 украинских сайтов для проведения против них DDoS-атак. В перечень этих веб-ресурсов вошли украинские правительственные сайты, финансовые ресурсы и ряд других проукраинских сайтов.
При загрузке JavaScript заставляет браузер обычного посетителя выполнять HTTP-запросы GET к каждому из указанных выше сайтов, но с не более чем 1000 одновременных подключений за раз. При этом DDoS-атаки происходят в фоновом режиме, поэтому пользователь даже не узнаёт об этом, если не обратит внимание на незначительное замедление работы своего веб-браузера.
Каждый запрос к целевым атакуемым сайтам использует случайную стройку запроса, чтобы тот не обслуживался через службу кэширования (вроде Cloudflare или Akamai), а напрямую направлялся на атакуемый сервер.
Специалисты издания Bleeping Computer смогли самостоятельно найти несколько сайтов на WordPress, которые были заражены выявленным командой MalwareHunterTeam соответствующим скриптом.
ИБ-эксперт Андрей Савченков в своём Twitter-аккаунте уточнил, что для проведения таких DDoS-атак на украинские ресурсы скомпрометированы уже сотни сайтов на WordPress.
«На самом деле таких сайтов уже сотни. Все они были скомпрометированы хакерами через известные уязвимости WordPress. К сожалению, большая часть провайдеров и владельцев этих сайтов никак не реагируют на инциденты безопасности», – заявил Андрей Савченко.
Интересно, что на одном из проукраинских сайтов из списка атакуемых («stop-russian-desinformation») есть примерно такой же скрипт для проведения DDoS-атак против 67 российских сайтов. Причём владельцы ресурса не скрывают его использования и поясняют, что браузеры пользователей будут использоваться для выполнения DDoS-атак.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: | VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
