СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.01.2025
#ИБ#Инфра

Заражение веб-сайтов: угроза вредоносного перенаправления

Заражение веб-сайтов: угроза вредоносного перенаправления

Источник: blog.sucuri.net

Недавнее исследование случаев заражения нескольких веб-сайтов вредоносным кодом выявило новую угрозу для пользователей интернета. Данный код перенаправляет посетителей на внешние вредоносные домены, что потенциально угрожает безопасности как пользователей, так и администраторов сайтов.

Описание угрозы

Основная функция обнаруженного вредоносного ПО заключается в перенаправлении пользователей на внешние вредоносные домены. Исследование предполагает, что злоумышленники также могли установить скрытые бэкдоры для постоянного доступа к скомпрометированным сайтам. Это приводит к риску раскрытия конфиденциальных данных, например, учетных данных администратора, что может способствовать дальнейшей эксплуатации сайта.

Как происходит заражение?

Вредоносный контент внедряется через JavaScript, и его использование может привести к:

  • распространению спама;
  • программам-вымогателям;
  • фишинговым кампанию.

Скрипт нацеливается на ботов, вошедших в систему пользователей и администраторов, и пытается оставаться незамеченным, постоянно перенаправляя их на вредоносные домены. Согласно данным расследования, перенаправления ведут на hxxps://cdn1.massearchtraffic.top/sockets, и было установлено, что за атакой стоят не менее 9 веб-сайтов.

Методы уклонения от обнаружения

Вредоносный код был внедрен в файл functions.php темы сайта. Обнаружение вредоносного ПО происходило с помощью инструмента SiteCheck, который классифицировал его как Известное вредоносное ПО JavaScript: redirect?fake_click.1. Чтобы избежать обнаружения антивирусными инструментами, злоумышленники реализовали следующие механизмы:

  • Проверка на наличие определенного файла cookie, чтобы не запускаться повторно в одном сеансе.
  • Обход выполнения для вошедших в систему пользователей WordPress.

Кроме того, использовались сложные регулярные выражения для фильтрации запросов на основе пользовательских агентов, блокируя запросы к важным частям сайта, таким как /wp-login.php и /wp-json.

Риски и последствия

Перенаправление пользователей на подозрительные домены не только угрожает безопасности их устройств, но и может подорвать доверие к затронутому веб-сайту. Основные риски включают:

  • Утрата доверия пользователей.
  • Штрафы со стороны поисковых систем.
  • Финансовая выгода злоумышленников от трафика на их домен.
  • Распространение дополнительного вредоносного ПО.

Злоумышленники активно используют распространенные уязвимости, такие как:

  • Устаревшие или обнуленные плагины и темы;
  • Плохо спроектированный пользовательский код;
  • Существующие бэкдоры;
  • Скомпрометированные учетные записи пользователей.

Таким образом, данное исследование подчеркивает необходимость внимательной проверки безопасности веб-сайтов и использования актуальных решений для защиты от вредоносных воздействий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: