Хакеры встраивают вредоносный код прямо в HTML. Как обезопасить свои ресурсы?
Хакеры активно взламывают WordPress-сайты, чтобы устанавливать вредоносные плагины и распространять фальшивые обновления браузеров, под которыми скрывается программное обеспечение для похищения данных.
С 2023 года кампания под названием ClearFake заражает взломанные сайты, выводя баннеры с фейковыми обновлениями браузеров. В 2024 году появился новый аналог — ClickFix, имитирующий сообщения об ошибках программ с якобы встроенными «исправлениями». Эти «исправления» активируют PowerShell-скрипты, которые загружают и устанавливают вредоносное ПО.
ClickFix с недавних пор стал использоваться для создания фальшивых уведомлений в популярных сервисах, таких как Google Chrome, Google Meet и Facebook. Также хакеры подменяют капчи, чтобы убедить пользователей выполнить «обновление».
На прошлой неделе компания GoDaddy сообщила, что злоумышленники взломали более 6000 WordPress-сайтов, чтобы установить поддельные плагины, используемые для внедрения этих фейковых уведомлений. Исследователь безопасности Денис Синегубко пояснил, что плагины маскируются под безобидные и даже копируют названия легитимных расширений, таких как Wordfence Security и LiteSpeed Cache.
Злоумышленники также создают плагины с вымышленными названиями, включая Universal Popup Plugin, SEO Booster Pro и Custom CSS Injector. Эти плагины внедряют вредоносные JavaScript-скрипты в HTML-код сайтов, ведущие к отображению поддельных уведомлений.
Анализ логов веб-серверов показывает, что хакеры используют украденные данные администраторов для автоматизированного входа на сайты. Взлом происходит через единичный POST-запрос, минуя стандартную страницу входа, что указывает на заранее полученные учётные данные.
Причины утечки данных остаются неясными, но исследователи предполагают, что они могли быть получены через фишинговые атаки, брутфорс или вредоносное ПО. В случае обнаружения фальшивых уведомлений администраторам сайтов рекомендуется немедленно проверить список плагинов, удалить подозрительные, а также сменить пароли на уникальные.
Спойлер: она начинается с подписки на наш канал