Нова хвиля атак: хакери використовують WordPress для шпигунства за Windows і Mac

31 Січня 06:50

Хакери використовують застарілі версії WordPress та плагіни, щоб змінювати вміст сайтів і змушувати відвідувачів завантажувати шкідливе програмне забезпечення. Про це повідомили дослідники з компанії c/side, що спеціалізується на веббезпеці, передає Комерсант український з посиланням на TechCrunch.

Хакерська кампанія триває і досі. Мета зловмисників – поширення шкідливого проамного забезпечення, здатного красти паролі та іншу особисту інформацію користувачів.

За даними c/side, деякі зі зламаних веб-сайтів входять до числа найпопулярніших сайтів в Інтернеті. 

«Це широко поширена і дуже комерціалізована атака», — зазначають у компанії.

Ця кампанія є атакою типу «розпороши та заплати», яка спрямована на скомпрометацію будь-кого, хто відвідує ці веб-сайти, а не на конкретну особу чи групу людей.

Що сталося

Хакери зламують сайти на WordPress і змушують людей самостійно завантажувати віруси, які крадуть паролі та особисті дані.

Зламані сайти підмінюють свій вміст і показують фальшиву сторінку оновлення Chrome, пропонуючи відвідувачам завантажити вірус під виглядом оновлення. Якщо відвідувач погоджується на оновлення, зламаний веб-сайт запропонує відвідувачу завантажити певний шкідливий файл, який маскується під оновлення, залежно від того, на якому комп’ютері відвідувач користується Windows або Mac.

Фахівці з кібербезпеки попередили компанію Automattic, яка розробляє та розповсюджує WordPress.com, про хакерську кампанію та надіслали їм список шкідливих доменів.

Automattic заявив, що безпека плагінів сторонніх розробників є обов’язком розробників плагінів WordPress.

10 000 сайтів WordPress розповсюжують шкідливі програми

Дослідники з компанії c/side виявили понад 10 000 сайтів, які стали жертвами цієї атаки.

Два типи зловмисного програмного забезпечення, яке просувається на шкідливі веб-сайти, відомі як Amos (або Amos Atomic Stealer), яке націлене на користувачів macOS; і SocGholish, який націлений на користувачів Windows.

Обидва ці віруси можуть викрадати паролі, файли cookies, криптовалютні гаманці та інші конфіденційні дані.

Для ідентифікації шкідливих скриптів дослідники сканували інтернет і проводили зворотний DNS-пошук. Серед атакованих сайтів є навіть популярні ресурси. Експерти наголошують, що для macOS установка вірусу вимагає від користувача ручного запуску файлу та обходу захисту Apple, проте багато людей можуть не помітити небезпеки.

Як захиститися

Як перший крок, оновіть установку WordPress. Оновіть свої плагіни, оцініть їх використання та видаліть ті, що не використовуються.

Знайдіть сценарії та, якщо знайдете, видаліть їх. Зловмисники найчастіше залишають бекдор. Знайдіть і видаліть.

Якщо ви знайшли ці сценарії на своєму сайті, фахівці з кібербезпеки наполегливо рекомендують переглянути журнали за останні 90 днів, щоб виявити будь-які ознаки компрометації чи зловмисної діяльності.

Якщо ви завантажили будь-які файли з уражених веб-сайтів, рекомендується ретельно очистити систему, щоб пом’якшити потенційне зараження шкідливим програмним забезпеченням.

Дзвенислава Карплюк
Редактор