Новая волна атак: хакеры используют WordPress для шпионажа по Windows и Mac
31 января 06:50
Хакеры используют устаревшие версии WordPress и плагины, чтобы менять содержимое сайтов и заставлять посетителей загружать вредоносное программное обеспечение. Об этом сообщили исследователи из компании c/side, специализирующейся на веббезопасности, передает Коммерсант украинский со ссылкой на TechCrunch.
Хакерская кампания продолжается до сих пор. Цель злоумышленников — распространение вредоносного программного обеспечения, способного воровать пароли и другую личную информацию пользователей.
По данным c/side, некоторые из взломанных веб-сайтов входят в число самых популярных сайтов в Интернете.
«Это широко распространенная и очень коммерциализированная атака», — отмечают в компании.
Эта кампания является атакой типа «распыли и заплати», которая направлена на скомпрометацию любого, кто посещает эти веб-сайты, а не на конкретное лицо или группу людей.
Что произошло
Хакеры взламывают сайты на WordPress и заставляют людей самостоятельно загружать вирусы, которые крадут пароли и личные данные.
Взломанные сайты подменяют свое содержимое и показывают фальшивую страницу обновления Chrome, предлагая посетителям загрузить вирус под видом обновления. Если посетитель соглашается на обновление, взломанный веб-сайт предложит посетителю загрузить определенный вредоносный файл, который маскируется под обновление, в зависимости от того, на каком компьютере посетитель пользуется Windows или Mac.
Специалисты по кибербезопасности предупредили компанию Automattic, которая разрабатывает и распространяет WordPress.com, о хакерской кампании и прислали им список вредоносных доменов.
Automattic заявил, что безопасность плагинов сторонних разработчиков является обязанностью разработчиков плагинов WordPress.
10 000 сайтов WordPress распространяют вредоносные программы
Исследователи из компании c/side обнаружили более 10 000 сайтов, которые стали жертвами этой атаки.
Два типа вредоносного программного обеспечения, которое продвигается на вредоносные веб-сайты, известны как Amos (или Amos Atomic Stealer), которое нацелено на пользователей macOS; и SocGholish, который нацелен на пользователей Windows.
Оба эти вирусы могут похищать пароли, файлы cookies, криптовалютные кошельки и другие конфиденциальные данные.

Для идентификации вредоносных скриптов исследователи сканировали интернет и проводили обратный DNS-поиск. Среди атакованных сайтов есть даже популярные ресурсы. Эксперты отмечают, что для macOS установка вируса требует от пользователя ручного запуска файла и обхода защиты Apple, однако многие люди могут не заметить опасности.
Как защититься
В качестве первого шага, обновите установку WordPress. Обновите свои плагины, оцените их использование и удалите те, которые не используются.
Найдите сценарии и, если найдете, удалите их. Злоумышленники чаще всего оставляют бэкдоры. Найдите и удалите.
Если вы нашли эти сценарии на своем сайте, специалисты по кибербезопасности настоятельно рекомендуют просмотреть журналы за последние 90 дней, чтобы выявить любые признаки компрометации или злонамеренной деятельности.
Если вы загрузили какие-либо файлы с зараженных веб-сайтов, рекомендуется тщательно очистить систему, чтобы смягчить потенциальное заражение вредоносным программным обеспечением.