Хакеры используют уязвимость в Wordpress для фишинг атак через поисковые системы

Исследователь в области информационной безопасности Денис Синегубко опубликовал информацию о том, как злоумышленники эксплуатируют уязвимость в WordPress для того, чтобы поместить в поисковую выдачу Google Images фишинговые ссылки.

Синегубко обнаружил 4,358 блогов, реализованных на WordPress, которые вмещают популярные изображения, размещенные на других сайтах. Если посетитель блога кликнет по такому изображению, он в большинстве случаев попадет на web-сайты злоумышленников.

Исследователю удалось определить шаблон URL адресов фишинговых ссылок на рисунках в Wordpress: hxxp://<hacked-wordpress-blog.com>/?[a-f]{3}=<ключевые слова>. Здесь [a-f]{3} – это комбинация из трех букв английского алфавита от «a» до «f», а <ключевые-слова> - это комбинация ключевых слов изображения, разделенных тире. Синегубко приводит несколько примеров фишинговых URL:

hxxp://example.com/?fef=pictures-of-mitzi-mueller-wrestling

hxxp://example.net/?cda=tropical-fruits-picture-index

«Страницы со ссылками на изображения имеют по ряду ключевых слов довольно высокий ранг в web поиске и поиске изображений Google - пишет Синегубко. – Однако перенаправление на вредоносные ресурсы работает только при нажатии на результаты поисковой выдачи Google Images».

Синегубко не дает точного объяснения того, каким именно образом на сайты попадают фишинговые ссылки. Он только выдвигает предположение о том, что злоумышленники используют бэкдор, ранее установленный в CMS.

Подробнее про обнаруженную Синегубко уязвимость можно прочитать здесь.