Вредоносное ПО создает мошеннические интернет-магазины поверх взломанных сайтов WordPress
Основная роль вредоносного ПО состояла в том, чтобы действовать как прокси и перенаправлять весь входящий трафик на удаленный командно-контрольный сервер (C&C), управляемый хакерами.
Было замечено, что новая банда киберпреступников захватывает уязвимые сайты WordPress для установки скрытых магазинов электронной коммерции с целью захвата рейтинга и репутации оригинального сайта в поисковых системах и продвижения онлайн-мошенников.
Атаки были обнаружены ранее в этом месяце и были нацелены на приманку WordPress, созданную и управляемую Larry Cashdollar, исследователем безопасности группы безопасности Akamai.
Злоумышленники использовали атаки грубой силы, чтобы получить доступ к учетной записи администратора сайта, после чего они переписали основной индексный файл сайта WordPress и добавили вредоносный код.
Хотя код был сильно запутан, Cashdollar сказал, что основная роль вредоносного ПО состояла в том, чтобы действовать как прокси и перенаправлять весь входящий трафик на удаленный командно-контрольный сервер (C&C), управляемый хакерами.
Именно на этом сервере происходила вся «бизнес-логика» атак. Согласно Cashdollar, типичная атака будет идти следующим образом:
- Пользователь посещает взломанный сайт WordPress.
- Взломанный сайт WordPress перенаправляет запрос пользователя на просмотр сайта на C&C сервер вредоносной программы.
- Если пользователь соответствует определенным критериям, C&C сервер сообщает сайту, чтобы он ответил HTML-файлом, содержащим интернет-магазин, торгующий широким спектром обычных объектов.
- Взломанный сайт отвечает на запрос пользователя мошенническим интернет-магазином вместо исходного сайта, который пользователь хотел просмотреть.
Cashdollar сообщил, что за то время, пока хакеры получили доступ к его приманке, злоумышленники открыли более 7000 магазинов электронной коммерции, которые они намеревались обслуживать для входящих посетителей.
Кроме того, исследователи Akamai заявили, что хакеры также сгенерировали XML-карты сайта для взломанных сайтов WordPress, которые содержали записи для поддельных интернет-магазинов вместе с аутентичными страницами сайта.
Злоумышленники создали карты сайта, отправили их в поисковую систему Google, а затем удалили карту сайта, чтобы избежать обнаружения.
Хотя эта процедура выглядела довольно безобидной, на самом деле она оказала довольно большое влияние на сайт WordPress, поскольку в конечном итоге отравила его ключевые слова несвязанными и мошенническими записями, которые снизили рейтинг страницы результатов поисковой системы (SERP).
Теперь Cashdollar считает, что этот вид вредоносного ПО может быть использован для схем вымогательства при поисковой оптимизации, когда преступные группы намеренно изменяют рейтинг сайта в поисковой выдаче, а затем просят выкуп, чтобы устранить последствия.
Учитывая, что в сети есть сотни тысяч заброшенных сайтов WordPress и миллионы других с устаревшими плагинами или слабыми учетными данными, потенциальный пул жертв огромен.
