DarkEngine: сложная фишинговая кампания против WP Engine
Компания CyberCX обнаружила масштабную и тщательно организованную фишинговую кампанию, нацеленную на пользователей WP Engine — популярной управляемой хостинговой платформы для WordPress. Кампания под названием DarkEngine действует не менее с июня 2024 года и использует продвинутые методы поисковой оптимизации (SEO), чтобы привлекать жертв на поддельные сайты, которые полностью копируют интерфейс входа WP Engine.
Как работает кампания DarkEngine
Суть атаки заключается в том, что злоумышленники вынуждают пользователей вводить свои учетные данные на фишинговых порталах, полностью имитирующих официальный сайт WP Engine. Получив данные для входа, хакеры получают несанкционированный доступ к учетным записям и, соответственно, к управляемым через них сайтам WordPress.
Далее злоумышленники внедряют множество вредоносных элементов, включая:
- установку бэкдоров с помощью вредоносного плагина, маскирующегося под WP-плагин;
- выполнение произвольного JavaScript-кода непосредственно на заражённых сайтах;
- развертывание различных троянов и похитителей данных, таких как Lumma Stealer, DanaBot, AsyncRAT, NetSupport RAT и DarkGate.
Масштаб и инфраструктура атаки
По данным CyberCX, уже зафиксировано более 2353 уникальных сайта, потенциально затронутых операцией DarkEngine, среди которых ресурсы организаций из Австралии и Новой Зеландии. Для оптимизации процесса атаки используются современные инструменты автоматизации, в частности Puppeteer — средство для автоматического управления браузером, что позволяет злоумышленникам последовательно выполнять аутентификацию и контролировать заражённые сайты.
Важной частью инфраструктуры злоумышленников является публичная панель управления, обеспечивающая:
- мониторинг состояния взломанных ресурсов;
- рассылку украденных учетных данных для дальнейшей компрометации;
- удалённое внедрение скриптов и вредоносных компонентов на сайты.
Особенности технической реализации
Ключевым механизмом распространения вредоносного кода является модификация стандартного wp-cron.php — системного файла WordPress, отвечающего за плановые задачи. Через него внедряется вредоносный плагин с именем WP-antymalwary-bot.php, который обеспечивает постоянный доступ злоумышленников к серверу.
Кроме того, злоумышленники клонируют оригинальные страницы WP Engine, чтобы повысить доверие жертв и облегчить сбор учетных данных. Для манипуляции посетителями на уже взломанных сайтах применяется метод ClickFix: на странице появляются поддельные капчи, чьё разрешение фактически запускает вредоносные действия.
Рекомендации для пользователей и организаций
Организациям, использующим WP Engine, рекомендуется:
- проводить регулярные и тщательные аудиты активности учетных записей;
- отслеживать любые несанкционированные входы и изменения в настройках доступа, особенно связанные с учетными записями SFTP;
- внимательно контролировать появление неизвестных плагинов и изменений в конфигурациях WordPress;
- обучать сотрудников методам выявления фишинга, включая распознавание поддельных капч и подозрительных запросов, связанных с выполнением команд вне среды браузера;
- активно искать и удалять вредоносные плагины и скрипты, связанные с кампанией DarkEngine.
DarkEngine демонстрирует высокий уровень организованности и технической проработки, что делает её серьезной угрозой для экосистемы WP Engine и сайтов WordPress в целом.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
