Хакеры используют устаревшие версии WordPress и плагинов, чтобы изменить тысячи веб -сайтов, пытаясь заставить посетителей загрузить и установить вредоносные программы, обнаружили исследователи безопасности.
Кампания по хакерской кампании по -прежнему «очень живая», — сказал TechCrunch, основатель и генеральный директор компании C/Side, которая обнаружила атаки, сообщил TechCrunch во вторник.
Цель хакеров состоит в том, чтобы распространять вредоносное ПО, способное красть пароли и другую личную информацию, у пользователей Windows и Mac. По словам C/Side, некоторые из взломанных сайтов являются одними из самых популярных сайтов в Интернете.
«Это широко распространенная и очень коммерческая атака», — сказал TechCrunch Химаншу Ананд, который написал результаты компании. Ананд сказал, что кампания представляет собой атаку «спрей и оплата», целью которой является компромисс любого, кто посещает эти веб -сайты, а не нацеливается на конкретного человека или группы людей.
Когда взломанные сайты WordPress загружаются в браузер пользователя, контент быстро меняется, чтобы отобразить поддельную страницу обновления браузера Chrome, попросить посетителя веб -сайта загрузить и установить обновление для просмотра веб -сайта, обнаружили исследователи. Если посетитель принимает обновление, взломанный веб -сайт побудит посетителя загрузить конкретный вредоносный файл, маскирующийся в качестве обновления, в зависимости от того, находится ли посетитель на ПК с Windows или на Mac.
Wijckmans сказал, что они предупредили автомат, компанию, которая разрабатывает и распространяет WordPress, о хакерской кампании и отправила им список злонамеренных доменов, и что их контакт в компании признал получение их электронной почты.
В связи с тем, что TechCrunch до публикации Меган Фокс, представитель Automattic, не комментировал.
C/Side сказал, что он определил более 10 000 веб -сайтов, которые, по -видимому, были скомпрометированы как часть этой хакерской кампании. Wijckmans сказал, что компания обнаружила вредоносные сценарии в нескольких доменах, ползая в Интернете и выполнив обратный поиск DNS, метод для поиска доменов и веб -сайтов, связанных с определенным IP -адресом, который выявил больше доменов, размещающих вредоносные сценарии.
TechCrunch не смог подтвердить точность фигур C/Side, но мы увидели один взломан WordPress веб -сайт, который все еще демонстрировал вредоносный контент во вторник.
От WordPress до инфуционной вредоносной программы
Два типа вредоносных программ, которые нажимают на вредоносные сайты, известны как Amos (или Amos Atomic Cheter), который нацелен на пользователей MacOS; и Socgholish, который нацелен на пользователей Windows.
В мае 2023 года фирма по кибербезопасности Sentinelone опубликовала отчет об AMOS, классифицируя вредоносные программы как инфулер, тип вредоносного ПО, предназначенного для заражения компьютеров и украсть столько имен пользователей и паролей, куки с сеансами, крипто -кошельки и другие конфиденциальные данные, которые позволяют хакерам Для дальнейшего проникновения в счета жертвы и украсть их цифровую валюту. Фирма по кибербезопасности Cyble сообщила, что в то время она обнаружила, что хакеры продают доступ к вредоносной программе Amos на Telegram.
Патрик Уордл, эксперт по безопасности MacOS и соучредитель Apple, ориентированного на Apple Startup Startup Dayyou, сказал TechCrunch, что Amos «окончательно самый плодовитый краж на macOS», и был создан с бизнес-моделью вредоносных программ. Разработчики и владельцы вредоносных программ продают его хакерам, которые затем развертывают его.
Уордл также отметил, что для того, чтобы кто-то успешно установил на MacOS, злонамеренный файл, найденной C/Side, «Пользователь по-прежнему должен вручную запустить его и прыгнуть через много обручей, чтобы обойти встроенную безопасность Apple».
Несмотря на то, что это не самая продвинутая кампания для хакерства, учитывая, что хакеры полагаются на свои цели, чтобы упасть на страницу поддельного обновления, а затем установить вредоносное ПО, это хорошее напоминание для обновления вашего браузера Chrome с помощью встроенной функции обновления программного обеспечения. и установить только надежные приложения на ваших личных устройствах.
Удолюбие, избавляемая паролем, и кража учетных данных были обвинены в некоторых из самых больших взломов и нарушений данных в истории. В 2024 году хакеры массово обрушились на учетные записи корпоративных гигантов, которые размещали свои конфиденциальные данные с помощью гигантского гиганта облачных вычислений, используя пароли, украденные с компьютеров сотрудников клиентов Snowflake.
