Вредоносные программы создают мошеннические интернет-магазины на взломанных сайтах WordPress

Изображение: TheDigitalArtist, WordPress

Была замечена новая банда кибер преступников, которая захватила уязвимые сайты WordPress для установки скрытых магазинов электронной коммерции с целью взлома рейтинга и репутации исходного сайта в поисковых системах и продвижения онлайн – мошенничества.

Атаки были обнаружены ранее в этом месяце и были нацелены на приманку WordPress, созданную и управляемую Ларри Кэшдолларом, исследователем безопасности группы безопасности Akamai.

Злоумышленники использовали атаки методом перебора, чтобы получить доступ к учетной записи администратора сайта, после чего они перезаписали основной файл индекса сайта WordPress и добавили вредоносный код.

Хотя код был сильно запутан, Кэшдоллар сказал, что основная роль вредоносной программы заключалась в том, чтобы действовать как прокси и перенаправлять весь входящий трафик на удаленный сервер управления и контроля (C&C), управляемый хакерами.

Именно на этом сервере происходила вся «бизнес-логика» атак. Согласно Cashdollar, типичная атака будет выглядеть следующим образом:

1. Пользователь посещает взломанный сайт WordPress.
2. Взломанный сайт WordPress перенаправляет запрос пользователя на просмотр сайта на C&C сервер вредоносной программы.
3. Если пользователь соответствует определенным критериям, C&C сервер сообщает сайту, что он должен ответить HTML-файлом, содержащим интернет-магазин, торгующий широким спектром обычных объектов.
4. Взломанный сайт отвечает на запрос пользователя мошенническим интернет-магазином вместо исходного сайта, который пользователь хотел просмотреть.

Cashdollar сообщил, что за то время, пока хакеры получили доступ к его приманке, злоумышленники открыли более 7000 магазинов электронной коммерции, которые они намеревались обслуживать для входящих посетителей.

Злоумышленники “отравили” XML-карту сайта

Кроме того, исследователи Akamai заявили, что хакеры также сгенерировали XML-карты сайта для взломанных сайтов WordPress, которые содержали записи для поддельных интернет-магазинов вместе с аутентичными страницами сайта.

Злоумышленники создали карты сайта, отправили их в поисковую систему Google, а затем удалили карту сайта, чтобы избежать обнаружения.

Хотя эта процедура выглядела довольно безобидной, на самом деле она оказала довольно большое влияние на сайты WordPress, поскольку в конечном итоге отравила их ключевые слова несвязанными и мошенническими записями, которые снизили рейтинг страницы результатов поисковой системы (SERP).

Теперь Cashdollar считает, что этот вид вредоносного ПО может использоваться для схем вымогательства при поисковой оптимизации, когда преступные группы намеренно изменяют рейтинг сайта в поисковой выдаче, а затем просят выкуп, чтобы устранить последствия.

«Это делает их атакой с низким барьером для злоумышленников, поскольку для начала им нужно всего несколько скомпрометированных хостов», – сказал Кэшдоллар. «Учитывая, что в сети есть сотни тысяч заброшенных установок WordPress и миллионы других с устаревшими плагинами или слабыми учетными данными, потенциальный пул жертв огромен».

Источник записи: https://www.zdnet.com