Исследователи выяснили, как хакерам удаётся до сих пор оставаться на плаву.
В ходе мониторинга веб-сайтов команда исследователей угроз Cybernews обнаружила активность вредоносного ПО Balada Injector, которая направлена на сайты WordPress . В результате Для просмотра ссылки Войдиили Зарегистрируйся выяснилось, что вирус маскируется и использует новые доменные имена для обхода систем безопасности. По данным PublicWWW, вирус затронул более тысячи сайтов.
Как работает Balada Injector
В качестве отправной точки исследования послужил сайт «spatialreality[.]com». Вместо отображения главной страницы сайта посетителю предлагалось скачать PHP-файл. Файл содержал вредоносный код, который позволял удаленно получать доступ к зараженной машине и управлять рекламными кампаниями на основе переадресации.
Основные моменты кампани Balada Injector
Ранее специалисты компании Sucuri заявили, что с 2017 года с помощью Balada Injector было заражено Для просмотра ссылки Войдиили Зарегистрируйся на базе WordPress. Известно, что атаки проходят волнами — раз в несколько недель.
В ходе мониторинга веб-сайтов команда исследователей угроз Cybernews обнаружила активность вредоносного ПО Balada Injector, которая направлена на сайты WordPress . В результате Для просмотра ссылки Войди
Как работает Balada Injector
В качестве отправной точки исследования послужил сайт «spatialreality[.]com». Вместо отображения главной страницы сайта посетителю предлагалось скачать PHP-файл. Файл содержал вредоносный код, который позволял удаленно получать доступ к зараженной машине и управлять рекламными кампаниями на основе переадресации.
Основные моменты кампани Balada Injector
- Balada Injector активен с 2017 года. В рассмотренном случае было замечено 7 автоматизированных атак на уязвимый сайт WordPress.
- Вредоносные скрипты загружались с различных доменов. Скрипты не только перенаправляли пользователей на сайты с сомнительной репутацией, но и пытались отслеживать пользователя, устанавливая шпионские расширения или другое ПО.
- На одном из исследуемых адресов сайт выглядел обычно, но через «favicon.ico» в браузер пользователя загружался вредоносный JavaScript-файл.
- Киберпреступники используют случайно сгенерированные домены, а также регулярно меняют их, когда старые домены обнаруживаются и помечаются как вредоносные. Все домены и поддомены, задействованные в атаке, связаны с одним и тем же субъектом угрозы.
Ранее специалисты компании Sucuri заявили, что с 2017 года с помощью Balada Injector было заражено Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru