Эксперты компании Sucuri обнаружили новую хакерскую атаку на сайты на CMS WordPress. Чтобы скрыть вредоносный код, злоумышленники проникают через каталог mu-plugins.
После компрометации сайта они перенаправляют трафик на вредоносные сайты, поддерживают постоянный доступ для управления ресурсом через бэкдоры, заменяют картинки на изображения откровенного содержания и размещают SEO-ссылки для манипулирования ранжированием.
Что было обнаружено
Было обнаружено два случая, оба используют разные способы компрометации сайтов. Как только мошенники получают доступ к ресурсу, они могут выполнять следующие мошеннические действия:
- Перенаправляют пользователей по фальшивым ссылкам. Обнаруженная в файле /wp-content/mu-plugins/redirect.php вредоносная программа перенаправляла посетителей на внешний вредоносные сайты.
- Выполняют Webshell-скрипт. Через директорию /wp-content/mu-plugins/index.php вредонос может выполнять произвольный код, который дает практически полный и постоянный доступ к сайту.
- Распространение спама. Скрипт был обнаружен в директории /wp-content/mu-plugins/custom-js-loader.php. Как предполагают эксперты, с помощью него злоумышленники размещают на сайте спам-контент и SEO-ссылки.
По словам экспертов, злоумышленники активно используют каталог mu-plugins, который предназначен для автоматической загрузки плагинов, в качестве постоянного плацдарма. Это делает его идеальным укрытием для вредоносных программ.
Редиректы под прикрытием
Вредоносный код мошенники скрывают в файле redirect.php. Под видом обновления браузера или системы они обманом заставляет пользователей загружать вредонос. После запуска злоумышленники получают доступ к внедрению бэкдоров, краже данных посетителей сайта и установке дополнительных вредоносных программ.
Скрипт также способен отличать реального посетителя от бота. Это позволяет ему исключать поисковых роботов из цепочки перенаправления на сторонние сайты.
Выполнение удаленного Webshell-скрипта
Злоумышленники загружают вредоносный скрипт, чтобы скомпрометировать сайт и получить к нему удаленный доступ. Он действует как бэкдор, позволяя хакерам выполнять команды, загружать файлы, красть пользовательские данные или запускать дальнейшие атаки.
Поскольку внешний скрипт может измениться в любой момент, злоумышленник может динамически внедрять новое вредоносное ПО, не изменяя сам плагин.
SEO-спам
Для выполнения этих вредоносных действий мошенники проверяют, присутствует ли на сайте каталог /mu-plugins. После этого они внедряют JavaScript-код, чтобы создавать отчеты об ошибках и выполнять отладку WordPress.
Скрипт создает пользовательский JavaScript-инжектор, способный заменять изображения на сайте на откровенный контент. Кроме того, он позволяет перехватывать все исходящие ссылки, открывая вредоносное всплывающее окно вместо целевого сайта.
Как обнаружить взлом
Мошенническая атака ставит под угрозу безопасность сайта и его посетителей. Присутствие вредоносного ПО можно определить по наиболее очевидным признакам:
- Необычное поведение на сайте, например, перенаправление пользователей на внешние вредоносные ресурсы.
- Появление подозрительных файлов в каталоге mu-plugins с необычными или вводящими в заблуждение названиями.
Также владельцам сайтов на WordPress стоит обратить внимание на уровень производительности ресурсов сервера — если он резко вырос без четкого объяснения причин. Также обращайте внимание на изменения файлов или появление нового кода в каталогах.
Читайте также, как ботнет NGIOWEB перенаправлял трафик через взломанные сайты на WordPress.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
