Новый вариант печально известного вредоносного ПО ClearFake (также известного как ClickFix) был обнаружен в дикой природе и уже сумел скомпрометировать тысячи веб-сайтов WordPress.
Исследователи GoDaddy утверждают, что обнаружили вариант этой кампании, который устанавливает вредоносные плагины на сайты для создания веб-сайтов. Злоумышленники использовали учетные данные, украденные где-то (или купленные на черном рынке), чтобы войти в учетную запись администратора WordPress и установить, казалось бы, безобидный плагин.
Затем жертв обманом заставляют загрузить обновление, которое представляет собой просто вредоносное ПО, которое крадет конфиденциальные данные или делает что-то еще, но столь же зловещее.
Тысячи взломанных веб-сайтов
Плагин, в свою очередь, отображает различные всплывающие окна и просит жертв выполнить различные действия (все из которых приводят к установке инфокрадов).
По словам GoDaddy, весь процесс автоматизирован, и на данный момент жертвами стали более 6000 веб-сайтов WordPress.
«Эти, казалось бы, законные плагины призваны казаться администраторам веб-сайтов безобидными, но содержат встроенные вредоносные сценарии, которые выдают конечным пользователям ложные запросы на обновление браузера», — говорят исследователи. Плагины «по-видимому, законны», поскольку имеют известные имена в мире WordPress, такие как Wordfense Security или LiteSpeed Cache.
Вот полный список обнаруженных на данный момент плагинов:
LiteSpeedКэш Классический
MonsterInsights Классик
Классика безопасности Wordfence
Улучшитель рейтинга в поиске
SEO-усилитель Pro
SEO-усилитель Google
Усилитель ранга Pro
Настройщик панели администратора
Расширенный менеджер пользователей
Расширенное управление виджетами
Блокировщик контента
Универсальный плагин всплывающих окон.
ClearFake — это тип вредоносной атаки, которую мы все видели в прошлом: веб-сайт взломан и используется для отображения поддельного всплывающего уведомления. Это уведомление обычно имитирует предупреждение антивируса или уведомление браузера и информирует пользователя о том, что его компьютер либо заражен вирусом, либо устарел и поэтому не может отображать нужный веб-сайт.
Над ПипКомпьютер
Больше от TechRadar Pro
