Недавнее исследование случаев заражения нескольких веб-сайтов вредоносным кодом выявило новую угрозу для пользователей интернета. Данный код перенаправляет посетителей на внешние вредоносные домены, что потенциально угрожает безопасности как пользователей, так и администраторов сайтов.
Описание угрозы
Основная функция обнаруженного вредоносного ПО заключается в перенаправлении пользователей на внешние вредоносные домены. Исследование предполагает, что злоумышленники также могли установить скрытые бэкдоры для постоянного доступа к скомпрометированным сайтам. Это приводит к риску раскрытия конфиденциальных данных, например, учетных данных администратора, что может способствовать дальнейшей эксплуатации сайта.
Как происходит заражение?
Вредоносный контент внедряется через JavaScript, и его использование может привести к:
- распространению спама;
- программам-вымогателям;
- фишинговым кампанию.
Скрипт нацеливается на ботов, вошедших в систему пользователей и администраторов, и пытается оставаться незамеченным, постоянно перенаправляя их на вредоносные домены. Согласно данным расследования, перенаправления ведут на hxxps://cdn1.massearchtraffic.top/sockets, и было установлено, что за атакой стоят не менее 9 веб-сайтов.
Методы уклонения от обнаружения
Вредоносный код был внедрен в файл functions.php темы сайта. Обнаружение вредоносного ПО происходило с помощью инструмента SiteCheck, который классифицировал его как Известное вредоносное ПО JavaScript: redirect?fake_click.1. Чтобы избежать обнаружения антивирусными инструментами, злоумышленники реализовали следующие механизмы:
- Проверка на наличие определенного файла cookie, чтобы не запускаться повторно в одном сеансе.
- Обход выполнения для вошедших в систему пользователей WordPress.
Кроме того, использовались сложные регулярные выражения для фильтрации запросов на основе пользовательских агентов, блокируя запросы к важным частям сайта, таким как /wp-login.php и /wp-json.
Риски и последствия
Перенаправление пользователей на подозрительные домены не только угрожает безопасности их устройств, но и может подорвать доверие к затронутому веб-сайту. Основные риски включают:
- Утрата доверия пользователей.
- Штрафы со стороны поисковых систем.
- Финансовая выгода злоумышленников от трафика на их домен.
- Распространение дополнительного вредоносного ПО.
Злоумышленники активно используют распространенные уязвимости, такие как:
- Устаревшие или обнуленные плагины и темы;
- Плохо спроектированный пользовательский код;
- Существующие бэкдоры;
- Скомпрометированные учетные записи пользователей.
Таким образом, данное исследование подчеркивает необходимость внимательной проверки безопасности веб-сайтов и использования актуальных решений для защиты от вредоносных воздействий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Заражение веб-сайтов: угроза вредоносного перенаправления".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.