Эпидемия взломов: как сайты на WordPress похищают ваши личные данные

Хакеры атакуют тысячи сайтов на базе WordPress, используя уязвимости в устаревших версиях CMS и плагинах. Их цель — заразить пользователей вредоносным ПО, способным красть пароли и другую конфиденциальную информацию как на Windows, так и на macOS.

Специалисты компании c/side обнаружили активную хакерскую кампанию, нацеленную на массовое распространение вредоносного программного обеспечения. По их данным, более 10 000 сайтов подверглись взлому, включая ресурсы с высокой посещаемостью. Злоумышленники модифицируют страницы, чтобы обманом заставить посетителей скачать и установить заражённые файлы.

Когда пользователь заходит на скомпрометированный сайт, ему отображается поддельная страница обновления браузера Chrome, предлагающая загрузить якобы необходимый файл. Если пользователь соглашается, на его устройство скачивается вредоносное ПО. В зависимости от операционной системы загружается одна из двух программ — Amos (или Atomic Stealer) для macOS и SocGholish для Windows.

Amos — один из самых распространённых инфостилеров для macOS. Он продаётся по модели «вредоносное ПО как услуга», что позволяет любому желающему приобрести доступ и использовать его для кражи паролей, сессий, криптокошельков и других данных. Запуск Amos на macOS требует от пользователя дополнительных действий, но хакеры рассчитывают на невнимательность жертв. SocGholish, нацеленный на Windows, действует аналогично.

Компания c/side сообщила об инциденте разработчику WordPress — Automattic, передав список вредоносных доменов. В компании подтвердили получение уведомления, но отметили, что безопасность сторонних плагинов лежит на их разработчиках.

Эксперты советуют владельцам сайтов своевременно обновлять WordPress и используемые плагины, а пользователям — загружать обновления браузеров только через встроенные механизмы и не скачивать файлы с неизвестных источников.