Понад мільйон сайтів на WordPress заражені новим зловмисним програмним забезпеченням

За оцінками експертів кібербезпеки, у рамках кампанії з впровадження шкідливого ПЗ «Balada Injector», яка триває з 2017 року, було заражено понад мільйон сайтів на базі WordPress. Відомо, що такі атаки проходять хвилями — раз на декілька тижнів.

«Цю кампанію легко ідентифікувати за тягою зловмисників до обфускації (заплутування або ж створення нечитабельного коду) String. fromCharCode, використання нещодавно зареєстрованих доменних імен зі шкідливими скриптами на випадкових піддоменах, а також за переспрямуванням на різноманітні шахрайські сайти», — заявляють експерти.

Сайти, які зловмисники використовують у своїх атаках, включають фальшиву технічну підтримку, шахрайські виграші в лотерею, а також підроблені CAPTCHA, які закликають користувачів вмикати сповіщення. Таким чином кіберзлочинці можуть розсилати свою спам-рекламу. За минулі роки у шкідливій кампанії Balada Injector використовувалося понад 100 доменів.

Шкідливе ПЗ також дає змогу генерувати підроблених користувачів-адміністраторів WordPress, збирати дані, що зберігаються на базових хостах, і залишати бекдори для постійного доступу. Крім того, Balada Injector здатний виконувати масштабний пошук у каталогах верхнього рівня, пов’язаних із файловою системою скомпрометованого сайту.

«Найчастіше ці ресурси належать творцю скомпрометованого сайту, і всі вони використовують один і той самий обліковий запис сервера, а також однакові права доступу до файлів. Таким чином, злом тільки одного сайту потенційно може надати доступ одразу до кількох інших сайтів», — зазначають спеціалісти з кібербезпеки.

Фахівці порекомендували користувачам WordPres вчасно оновлювати програмне забезпечення сайту, видаляти зайві плагіни й теми, а також використовувати надійні паролі адміністратора WordPress, щоб не потрапити у зону ризику.