Хакеры используют устаревшие версии WordPress и плагинов для изменения тысяч веб-сайтов, пытаясь обманом заставить посетителей скачать и установить вредоносное ПО, обнаружили исследователи безопасности.
Хакерская кампания все еще «очень активна», сообщил во вторник TechCrunch Саймон Вейкманс, основатель и генеральный директор компании c/side, которая обнаружила атаки.
Целью хакеров является распространение вредоносного ПО, способного похищать пароли и другую личную информацию пользователей Windows и Mac. По данным c/side, некоторые из взломанных сайтов входят в число самых популярных в Интернете.
«Это широкомасштабная и очень коммерциализированная атака», - заявил TechCrunch Химаншу Ананд, написавший заключение компании. По словам Ананда, эта кампания представляет собой атаку по принципу «распыляй и плати», цель которой - скомпрометировать всех, кто посещает эти сайты, а не нацелиться на конкретного человека или группу людей.
Когда взломанные WordPress-сайты загружаются в браузере пользователя, их содержимое быстро меняется и отображает фальшивую страницу обновления браузера Chrome, требуя от посетителя сайта скачать и установить обновление, чтобы просматривать сайт, обнаружили исследователи. Если посетитель принимает обновление, взломанный сайт предлагает ему загрузить определенный вредоносный файл, маскирующийся под обновление, в зависимости от того, находится ли он на Windows PC или Mac.
Вейкманс сказал, что они предупредили Automattic, компанию, которая разрабатывает и распространяет WordPress.com, о хакерской кампании и отправили им список вредоносных доменов, и что их контактное лицо в компании подтвердило получение их письма.
Представитель компании Automattic Меган Фокс, с которой TechCrunch связался перед публикацией, не дала комментариев.
Компания C/side заявила, что обнаружила более 10 000 сайтов, которые, судя по всему, были взломаны в ходе этой хакерской кампании. По словам Вейкманса, компания обнаружила вредоносные скрипты на нескольких доменах, прочесав интернет и выполнив обратный поиск DNS - метод поиска доменов и сайтов, связанных с определенным IP-адресом, который выявил больше доменов, на которых размещались вредоносные скрипты.
TechCrunch не смог подтвердить точность данных c/side, но мы видели один взломанный WordPress-сайт, на котором во вторник все еще отображалось вредоносное содержимое.
От WordPress к вредоносному ПО для похищения информации
Два типа вредоносных программ, которые распространяются на вредоносных сайтах, известны как Amos (или Amos Atomic Stealer), предназначенная для пользователей macOS, и SocGholish, предназначенная для пользователей Windows.
В мае 2023 года компания SentinelOne, специализирующаяся на кибербезопасности, опубликовала отчет об Amos, классифицировав его как infostealer - тип вредоносного ПО, предназначенного для заражения компьютеров и кражи максимального количества имен пользователей и паролей, сессионных файлов cookie, криптокошельков и других конфиденциальных данных, что позволяет хакерам в дальнейшем взламывать аккаунты жертв и красть их цифровую валюту. Компания Cyble, специализирующаяся на кибербезопасности, тогда сообщила, что обнаружила, что хакеры продают доступ к вредоносной программе Amos в Telegram.
Патрик Уордл, эксперт по безопасности macOS и соучредитель ориентированного на Apple стартапа DoubleYou, рассказал TechCrunch, что Amos - «безусловно, самая распространенная кража на macOS» и была создана по бизнес-модели «вредоносное ПО как услуга», то есть разработчики и владельцы вредоносного ПО продают его хакерам, которые затем его внедряют.
Уордл также отметил, что для успешной установки на macOS вредоносного файла, найденного c/side, «пользователю придется запустить его вручную и пройти через множество препятствий, чтобы обойти встроенную защиту Apple».
Хотя это, возможно, не самая продвинутая хакерская кампания, учитывая, что хакеры рассчитывают на то, что их цель попадется на фальшивую страницу обновления и затем установит вредоносное ПО, это хорошее напоминание о необходимости обновлять браузер Chrome через встроенную функцию обновления ПО и устанавливать только проверенные приложения на свои личные устройства.
Вредоносные программы, похищающие пароли и учетные данные, стали виновниками крупнейших взломов и утечек данных в истории. В 2024 году хакеры массово взломали учетные записи корпоративных гигантов, которые размещали свои конфиденциальные данные в облачном хранилище Snowflake, используя пароли, украденные с компьютеров сотрудников клиентов Snowflake.
Оригинал
Уникальность
