Хакери знайшли спосіб ламати сайти на WordPress: десятки тисяч потерпілих

Дослідники безпеки з компанії Check Point виявили нову кампанію з розповсюдження шкідливої реклами, в ході якої заражається близько 40 тис. пристроїв щотижня. Фахівці вважають, що оператори даної кампанії об'єдналися з рекламною мережею і посередниками для перенаправлення жертв на шахрайські сайти, що поширюють здирницькі ПО, банківські трояни і інші шкідливі програми. Дана схема отримала назву Master134 за аналогією з адресою головного С&C-сервера кампанії.

Спочатку шахраї зламують сайти WordPress. Дослідники виявили понад 10 тис. сайтів, скомпрометованих в ході цієї кампанії. На всіх зламаних сайтах працює система управління контентом WordPress версії 4.7.1, у якій існує критична уразливість, що дозволяє хакерам віддалено виконати код. Зламавши сайт, атакуючі розміщують на ньому рекламні оголошення, що перенаправляють користувачів на портал Master134.

Роль сервісу Master134 полягала в тому, щоб просувати рекламні місця у рекламній мережі AdsTerra під обліковим записом видавця. Дані рекламні місця потім скуповувалися зловмисниками для перенаправлення жертв на шкідливі ресурси.

Практично всі рекламні місця купувалися через реселлера AdsTerra. У числі покупців значаться оператори наборів експлойтів (RIG, Magnitude, GrandSoft, FakeFlash), систем розподілу трафіку (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) і шахрайських сайтів, що маскуються під техпідтримку.

«Схоже, що співпраця між різними групами зловмисників успішно підтримується через сторонні рекламні мережі, найбільшою з яких є AdsTerra ... Грунтуючись на наших висновках, ми припускаємо, що зловмисники платять Master134 безпосередньо. Master134 потім платить рекламній мережі, щоб перенаправити трафік і, можливо, навіть приховати його походження», - відзначають фахівці.

Раніше повідомлялося про те, що хакери вкрали особисті дані понад 21 мільйона користувачів Timehop.