Взломанные сайты на WordPress распространяют вредоносное ПО с помощью поддельных уведомлений от Cloudflare

Согласно отчету компании Sucuri, хакеры взламывают плохо защищенные сайты на WordPress, чтобы внедрить сильно обфусцированный JavaScript-код, который выводит на сайт поддельное уведомление от Cloudflare.

Как показано ниже, посетителю сайта предлагается кликнуть на кнопку, чтобы обойти защиту от DDoS-атак. Если жертва кликает на кнопку, то на ее компьютер загружается файл 'security_install.iso', который выдает себя за инструмент, необходимый для обхода защиты.

Фальшивое уведомление от Cloudflare

Затем жертве предлагается открыть файл security_install.iso, который маскируется под приложение DDOS GUARD, и ввести указанный код.

Окно для ввода кода на сайте и генератор кода

Когда пользователь открывает файл security_install.iso, он видит файл security_install.exe, который запускает PowerShell-команду из файла debug.txt.

Содержимое файла security_install.iso

После этого запускается цепочка скриптов, которые генерируют фальшивый код, необходимый для просмотра сайта, а также устанавливают популярный троян удаленного доступа (RAT) под названием NetSupport. Кроме того, скрипты развертывают на устройстве жертвы Raccoon Stealer 2.0 – вредонос, который крадет пароли, cookie-файлы, данные автозаполнения и кредитные карты, сохраненные в веб-браузерах, а также данные различные криптовалютных кошельков. Кроме того, этот инфостилер умеет красть файлы с устройства жертвы и делать скриншоты рабочего стола.

Полная цепочка атак с использованием поддельных уведомлений от Cloudflare

Эксперты Sucuri рекомендуют администраторам проверить файлы тем своих сайтов на WordPress и начать использовать системы мониторинга целостности файлов, чтобы перехватывать JS-инъекции в момент их возникновения, тем самым не давая возможности хакерам сделать из сайта точку распространения вредоносного ПО.