Специалисты компании Infoblox раскрыли сложную схему кибератак, в рамках которой злоумышленники взламывают сайты на базе WordPress и перенаправляют посетителей на поддельные страницы с фишингом, вредоносным ПО или ложными предложениями. Об этом сообщает издание TechRadar.
В центре этой инфраструктуры находится система под названием VexTrio, которая в режиме реального времени определяет, куда именно направить пользователя — на фишинговый сайт, вирус или мошенническую страницу с фиктивными выигрышами.
Хакеры эксплуатируют уязвимости в плагинах и темах WordPress, вставляя скрипты редиректа. Эти скрипты обращаются к специальным DNS TXT-записям, что позволяет динамически менять маршруты переходов в зависимости от геолокации посетителя, типа устройства и времени суток.
По данным исследователей, в схему вовлечены несколько коммерческих рекламных компаний — Los Pollos, RichAds и Partners House. На первый взгляд они функционируют как легальные рекламные сети, однако на практике сотрудничают с киберпреступниками, получая трафик с взломанных сайтов и переправляя его рекламодателям, часто с небезопасным содержанием.
Ранее компания Los Pollos уже была замечена в участии в кампаниях российской дезинформации, что подчеркивает опасность подобных рекламных партнерств.
Одним из ключевых методов воздействия злоумышленников стали поддельные CAPTCHA-окна. Пользователям показывают запрос «подтвердить, что вы не робот», после чего предлагают разрешить показ браузерных уведомлений. Разрешения используются для дальнейшей рассылки фишинговых сообщений и вредоносных ссылок, в том числе через легальные платформы, такие как Google Firebase.
источник
уникальность
