- 19,438
- 40
- 8 Ноя 2022
Злоумышленники обходят системы защиты через секретный механизм CMS.
Специалисты по безопасности из компании Sucuri Для просмотра ссылки Войдиили Зарегистрируйся , при которой злоумышленники используют особую директорию WordPress — «mu-plugins» — для сокрытия вредоносного кода. Эта папка предназначена для так называемых must-use плагинов, которые автоматически активируются без участия администратора и не отображаются в стандартном интерфейсе. Такое поведение делает её идеальной точкой для незаметного размещения вредоносных компонентов.
По данным исследователей, в рамках нескольких инцидентов в директории были найдены сразу три разновидности вредоносных PHP-файлов. Один из них, «redirect.php», осуществлял скрытое перенаправление пользователей на внешние ресурсы, замаскированные под обновление браузера. Вторая вредоносная программа, «index.php», предоставляла атакующим возможность удалённого выполнения произвольного кода через подгрузку скриптов с GitHub. Третий компонент, «custom-js-loader.php», внедрял нежеланный спам и заменял изображения на откровенные материалы, перенаправляя внешние ссылки на мошеннические сайты.
Особенность метода заключается в том, что вредоносный скрипт умеет определять, является ли текущий посетитель ботом поисковой системы. Если это так, перенаправление отключается, что позволяет избежать обнаружения вредоносного поведения во время индексирования. Это повышает устойчивость атаки к выявлению и делает её особенно опасной для обычных пользователей.
Эксперты отмечают, что такой подход становится частью более широкой кампании, в рамках которой скомпрометированные сайты на WordPress используются как площадки для дальнейших атак. В частности, Для просмотра ссылки Войдиили Зарегистрируйся , когда посетителям предлагалось пройти фальшивую проверку reCAPTCHA или Cloudflare CAPTCHA, после чего в систему загружались вредоносные команды PowerShell с последующей установкой трояна Lumma Stealer.
Параллельно на скомпрометированных сайтах Для просмотра ссылки Войдиили Зарегистрируйся вредоносный JavaScript, предназначенный для сбора платёжной информации, введённой пользователями на страницах оформления заказов. Также встречаются сценарии с простым перенаправлением трафика на сторонние мошеннические ресурсы.
Хотя точные методы компрометации сайтов остаются неизвестными, предполагается, что хакеры используют уязвимости в плагинах и темах, а также получают доступ через украденные учётные данные и неправильные настройки серверов.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Patchstack, только с начала года было зафиксировано четыре критические уязвимости в плагинах WordPress, активно эксплуатируемые злоумышленниками. Среди них — Для просмотра ссылки Войди или Зарегистрируйся в плагине WordPress Automatic Plugin ( Для просмотра ссылки Войди или Зарегистрируйся ) с возможностью произвольного выполнения SQL-запросов, а также критические уязвимости в темах Bricks и плагинах GiveWP и Startklar Elementor Addons, позволяющие выполнять произвольный код и загружать вредоносные файлы без аутентификации.
Для минимизации рисков специалисты рекомендуют своевременно обновлять плагины и темы, регулярно проверять файлы сайта на наличие подозрительных изменений, использовать сложные пароли и внедрять межсетевые экраны приложений. Эти меры позволяют отсекать вредоносные запросы и блокировать попытки внедрения вредоносного кода.
Специалисты по безопасности из компании Sucuri Для просмотра ссылки Войди
По данным исследователей, в рамках нескольких инцидентов в директории были найдены сразу три разновидности вредоносных PHP-файлов. Один из них, «redirect.php», осуществлял скрытое перенаправление пользователей на внешние ресурсы, замаскированные под обновление браузера. Вторая вредоносная программа, «index.php», предоставляла атакующим возможность удалённого выполнения произвольного кода через подгрузку скриптов с GitHub. Третий компонент, «custom-js-loader.php», внедрял нежеланный спам и заменял изображения на откровенные материалы, перенаправляя внешние ссылки на мошеннические сайты.
Особенность метода заключается в том, что вредоносный скрипт умеет определять, является ли текущий посетитель ботом поисковой системы. Если это так, перенаправление отключается, что позволяет избежать обнаружения вредоносного поведения во время индексирования. Это повышает устойчивость атаки к выявлению и делает её особенно опасной для обычных пользователей.
Эксперты отмечают, что такой подход становится частью более широкой кампании, в рамках которой скомпрометированные сайты на WordPress используются как площадки для дальнейших атак. В частности, Для просмотра ссылки Войди
Параллельно на скомпрометированных сайтах Для просмотра ссылки Войди
Хотя точные методы компрометации сайтов остаются неизвестными, предполагается, что хакеры используют уязвимости в плагинах и темах, а также получают доступ через украденные учётные данные и неправильные настройки серверов.
Согласно Для просмотра ссылки Войди
Для минимизации рисков специалисты рекомендуют своевременно обновлять плагины и темы, регулярно проверять файлы сайта на наличие подозрительных изменений, использовать сложные пароли и внедрять межсетевые экраны приложений. Эти меры позволяют отсекать вредоносные запросы и блокировать попытки внедрения вредоносного кода.
- Источник новости
- www.securitylab.ru
