Iframe-ловушки: как один скрипт подменяет целые сайты изнутри

Вредоносная кампания по внедрению JavaScript-кода на легитимные сайты, направленная на продвижение китайских азартных платформ, достигла беспрецедентного масштаба — под контроль злоумышленников попало уже около 150 тысяч ресурсов. По данным PublicWWW, на момент написания материала вредоносный скрипт был обнаружен более чем на 135 тысячах сайтов , а анализ специалистов c/side показывает , что схема продолжается с незначительными изменениями в интерфейсе.

Суть атаки заключается во встраивании iframe-элемента, который отображает полноэкранное наложение в браузере жертвы. Это позволяет заменить легитимный контент сайта на поддельную страницу, продвигающую азартные платформы, ориентированные на китайскую аудиторию. JavaScript-код, отвечающий за редирект, размещён на нескольких доменах, включая «zuizhongyj[.]com», с которых загружается основной вредоносный компонент.

В ряде случаев вредоносный код подменяет легитимные страницы известных букмекерских компаний, таких как Bet365, используя фирменные логотипы и визуальный стиль. Таким образом пользователи не сразу понимают, что оказались на поддельной странице. Наложение, реализованное средствами CSS, выглядит как оригинальный интерфейс и полностью перекрывает содержимое заражённого сайта.

Аналитики подчёркивают, что подобные клиентские атаки становятся всё более популярными, особенно на фоне роста числа находок и выявлений новых вариантов вредоносного поведения. Адаптивность злоумышленников и использование дополнительных уровней запутывания кода затрудняют своевременное обнаружение и нейтрализацию угроз.

На фоне этих событий компания GoDaddy обнародовала сведения о масштабной операции DollyWay World Domination, которая ведётся с 2016 года. В её рамках было скомпрометировано более 20 тысяч сайтов, причём только за последние месяцы под атаку попало свыше 10 тысяч уникальных ресурсов на WordPress. Вектором заражения также выступают JavaScript-редиректы, внедрённые через сеть TDS (Traffic Direction System), распределённую по ранее взломанным сайтам.

Исследователи отмечают связь данной схемы с крупнейшей киберпреступной партнёрской сетью VexTrio, использующей DNS-обфускацию, генерацию доменов и разветвлённую систему трафик-менеджмента. Помимо подмен страниц, схема включает в себя отключение защитных плагинов, удаление легитимных администраторов и кражу их данных для дальнейшего управления ресурсом.

Скрипты, внедрённые в PHP-код активных плагинов WordPress, автоматически скачивают инструкции по редиректу с Telegram-канала trafficredirect. После разрыва связи с сетью LosPollos в ноябре 2024 года операторы DollyWay стали активно перестраивать свою инфраструктуру, что, по мнению исследователей, указывает на частичное нарушение их логистики и снижение эффективности.

Однако, несмотря на технические сбои и временные отключения, злоумышленники быстро адаптировались, переключившись на альтернативные схемы монетизации. Сейчас инфраструктура DollyWay продолжает генерировать до 10 миллионов показов страниц в месяц, используя взломанные сайты в качестве C2-узлов и элементов сети перенаправления трафика.

Ключевым риском остаётся то, что многие из заражённых сайтов продолжают работать без обновления или проверки безопасности, а потому остаются уязвимыми. С учётом распространённости WordPress и открытости экосистемы плагинов, потенциальный масштаб атаки может только расти.