Мошенничество с Google reCAPTCHA: угроза WordPress в 2024 году

Источник: blog.sucuri.net
С декабря 2022 года в экосистеме WordPress была зафиксирована мошенническая кампания, использующая поддельную технологию Google reCAPTCHA для выполнения вредоносных команд PowerShell. Эта схема становится всё более распространенной, привлекая внимание к новому уровню угроз в кибербезопасности.
Суть кампании
Мошенники маскируют вредоносное ПО под законную Google reCAPTCHA, внедряя его на главные страницы взломанных веб-сайтов. Пользователи, попадая на эти страницы, могут быть введены в заблуждение и нажимают на поддельную проверку. Это приводит к запуску серии подсказок, которые призваны побудить их выполнять вредоносные команды в операционных системах Windows.
«Вредоносная программа использует стратегии, которые обходят стандартные методы обеспечения безопасности», — отмечают эксперты по кибербезопасности.
Методы обхода безопасности
Одним из опасных аспектов данной кампании является перехват управления буфером обмена пользователя, что позволяет автоматически вставлять вредоносные команды без необходимости их ручного копирования. Пользователям часто предлагается выполнять команды, используя комбинацию Windows + R, что вызывает ассоциации с мошенничеством, связанным с технической поддержкой.
Стратегии распространения
- Использование уязвимых плагинов WordPress
- Внедрение вредоносного кода в файлы, такие как functions.php
- Создание поддельных плагинов с загадочными названиями
Анализ зараженных веб-сайтов показал, что вредоносное ПО применяет JavaScript-программы, которые извлекают ресурсы из Binance Smart Chain, что свидетельствует о том, что цель злоумышленников заключается не в осуществлении транзакций, а в загрузке вредоносных программ.
Технические детали атак
Для начала атаки мошенническая программа загружает вредоносные библиотеки JavaScript, такие как:
- web3.js — для взаимодействия с блокчейном
- pako.js — для сжатия данных
- crypto-js — для криптографических функций
С момента начала кампании в декабре 2022 года было идентифицировано более 5200 зараженных веб-сайтов.
Рекомендации по кибербезопасности
Чтобы снизить риски, связанные с этой угрозой, как пользователям, так и администраторам веб-сайтов следует соблюдать ряд строгих правил кибербезопасности:
- Избегать выполнения любых запросов на ввод команд;
- Использовать надежные антивирусные программы и обновлять браузеры;
- Внедрять средства блокировки скриптов;
- Использовать двухфакторную аутентификацию (2FA);
- Незамедлительно уведомлять администраторов о любых аномалиях на веб-сайте.
Для администраторов важно поддерживать актуальность плагинов и тем, использовать брандмауэры и следить за безопасностью входа в систему, чтобы обеспечить защиту от подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



