Эксперты по кибербезопасности выявили новую вредоносную кампанию, направленную на пользователей платформы WordPress. Вредоносное ПО распространяется через обманчивую страницу подтверждения Cloudflare, которая вынуждает посетителей сайта загружать опасное программное обеспечение, маскирующееся под законный процесс проверки.
Особенности вредоносной кампании и механизм заражения
В отличие от предыдущих атак, где вредоносное ПО размещалось централизованно, в текущей кампании код внедряется во множество тем и поддельных плагинов. Заражение проходит в три этапа, что существенно затрудняет его обнаружение и удаление.
- Первый этап: Пользователю показывается страница с якобы подтверждением от Cloudflare. Ему предлагается отметить флажок и выполнить инструкции, включающие запуск диалогового окна Windows с последующим выполнением вредоносной команды.
- Второй этап: Выполнение опасной команды PowerShell, которая передает полезную нагрузку, обходя защиту базовых антивирусных систем. Команда запускается с повышенными привилегиями, что позволяет злоумышленникам обойти ограничения пользователя.
- Третий этап: PowerShell-скрипт декодирует base64, скачивает ZIP-архив, извлекает исполняемый файл test.exe, добавляет исключения в Windows Defender и запускает вредоносный файл.
Вредоносный код внедряется в файл header.php всех активных тем WordPress, добавляя ссылки на локальный файл verification.html. Этот файл воспроизводит сообщение, где утверждается, что с IP-адреса пользователя якобы зафиксирован необычный трафик, создавая ложное впечатление срочности.
Тактика обхода защиты и особенности вредоносного ПО
Использование PowerShell для передачи полезной нагрузки позволяет злоумышленникам эффективно скрываться от стандартных антивирусных средств, особенно когда жертва не обладает высоким уровнем технической подготовки. Уточняется, что конечный исполняемый файл проявляет поведение, схожее с похитителями информации и другими вредоносными программами, однако специфика его возможностей остаётся недостаточно изученной из-за отсутствия прямого доступа к нему для анализа.
Эта кампания демонстрирует, насколько изощрённо злоумышленники используют социальную инженерию — маскируя вредоносный сценарий под _официальное_ уведомление, повышая шансы на взаимодействие пользователя с вредоносными элементами.
Рекомендации по защите пользователей и владельцев WordPress-сайтов
Для минимизации риска заражения и обеспечения безопасности эксперты советуют строго придерживаться следующих мер:
- Никогда не выполнять команды, запрашиваемые веб-сайтами, если они требуют действий вне браузера.
- Регулярно обновлять WordPress, темы и плагины для устранения известных уязвимостей.
- Отслеживать необычную активность и изменения в учётных записях и системе.
- Использовать сложные и уникальные пароли, избегая повторного применения.
- Внедрять брандмауэр для веб-приложений (WAF) для защиты от сетевых атак.
- Включать двухфакторную аутентификацию для доступа к административной панели WordPress.
Своевременное применение этих рекомендаций существенно снизит риск компрометации сайтов и защитит пользователей от потери данных и заражения вредоносным ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоступенчатая угроза: новая вредоносная кампания на WordPress".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.