Атака социальной инженерии на WordPress через поддельный Google Meet
Источник: blog.sucuri.net
Сложная атака социальной инженерии через поддельный интерфейс Google Meet на сайте WordPress
Недавние расследования показали новую изощрённую атаку, нацеленную на пользователей сайта WordPress с использованием социальной инженерии. Вместо классической фишинговой формы злоумышленники создали поддельный интерфейс Google Meet, который обманным путём побуждал жертв запускать вредоносные команды PowerShell. Этот инцидент демонстрирует, насколько изощрёнными становятся методы атак и какую угрозу они представляют для безопасности пользователей.
Ход атаки: подмена интерфейса и запуск вредоносного кода
Вредоносная HTML-страница содержала тщательно подстроенный JavaScript, который воспроизводил сообщение об ошибке — «Отказано в доступе к микрофону». Это сообщение использовалось для убеждения пользователя скопировать и выполнить команду PowerShell, якобы направленную на устранение проблемы с доступом.
- Скрипт автоматически размещал вредоносную PowerShell-команду в буфере обмена, упрощая её вставку пользователем.
- Запуск команды инициировал загрузку троянской программы удалённого доступа (RAT), размещенной непосредственно на компрометированном сайте, что минимизировало использование сторонних серверов.
- Особое внимание уделялось файлу XR.txt — сильно обфусцированному PowerShell-скрипту, ответственного за дальнейшие вредоносные операции.
Этот скрипт маскировал свои действия сообщением «Проверка завершена!», чтобы не вызвать подозрений у пользователя. Благодаря сложным методам обфускации и выполнению команд напрямую в памяти, обнаружение вредоносного кода было затруднено.
Техническая структура вредоносной цепочки
Команда злоумышленников включала сложные манипуляции со строками и кодировками, что позволяло скрыть истинные цели скрипта. После активации на устройстве жертвы устанавливался пакетный файл с именем noanti-vm.bat, который VirusTotal идентифицировал как троян.
- Файл использовал методику обхода защиты, создавая множество переменных окружения для сокрытия своей функциональности.
- Главная цель состояла в манипулировании поведением пользователя, а не уязвимостью браузера — злоумышленники использовали доверие жертв для выполнения произвольного кода.
Последствия и рекомендации по защите
Если пользователь выполняет команды, злоумышленники получают полный контроль над системой, что может привести к:
- установке дополнительного вредоносного ПО;
- краже конфиденциальных данных;
- полной компрометации устройства;
- другим серьёзным негативным последствиям.
Для снижения рисков рекомендуется придерживаться следующих мер безопасности:
- Регулярно сканировать систему на наличие вредоносных программ и несанкционированных изменений.
- Обновлять все компоненты веб-сайта и серверного ПО для устранения известных уязвимостей.
- Использовать строгие меры контроля доступа, включая сложные пароли и двухфакторную аутентификацию.
- Проверять корректность вводимых пользователем данных для предотвращения внедрения вредоносного кода.
- Развертывать брандмауэр веб-приложений (WAF) для фильтрации вредоносного трафика и защиты от распространённых атак.
Методы социальной инженерии, используемые в данном случае, обращают внимание на важность критического мышления и бдительности пользователей. Всегда следует тщательно проверять легитимность технических подсказок и не выполнять подозрительные команды без подтверждения их источника.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
