Злоумышленники атакуют сайты на базе WordPress

Вирус вставляет вредоносный код во все JavaScript-сценарии на ресурсе.  ИБ-эксперт Sucuri Денис Синегубко нашёл вредоносную кампанию, нацеленную на сайты на базе WordPress. Как сообщается в блоге компании, преступники посредством особого кода вставляют на ресурсы бэкдоры и повторно инфицируют даже очищенные от вредоносного ПО страницы.

Хакеры внедряют зашифрованный вредоносный код во все JavaScript-сценарии на целевых сайтах под управлением WordPress. По словам Синегубко, вредоносное ПО устанавливает множественные бэкдоры в разные файлы на web-сервере и регулярно обновляет встроенный код. В следствии сайт выясняется постоянно инфицирован вредоносом, а попытки удаления вируса выясняются тщетными. Опасности подвержены все JavaScript-сценарии на всех доменах в пределах одной и той же учетной записи хостинга. Для устранения угрозы пригодиться изолировать все сайты на учетной записи и удалить вредоносное ПО.

Вирус применяет пару вариаций зашифрованного кода с однообразной структурой. На зараженных ПК устанавливается маркетинговый файл cookie, вставляющий на посещаемые сайты модифицированные невидимые фреймы <iframe>. По словам Синегубко, преступники деятельно применяют разработку «затенения доменов». Преступники могут добавить вредоносные поддомены к легитимным доменам второго уровня. Подобные поддомены употребляются для распространения вредоносного ПО – к примеру, набора эксплоитов Angler.