Популярный плагин «All in One SEO Pack» использовался для атаки на любителей «бесплатного сыра».
Злоумышленники приступили к активной рассылке спама, рекламирующего «All in One SEO Pack» плагин к WordPress. В заманчивом рекламном объявлении сообщалось, что Pro-версия плагина для поисковой оптимизации теперь доступна бесплатно.
Злоумышленники выбрали оптимальное время для подобных сообщений – они рассылались в прошлую «черную» пятницу, когда многие производители делают неимоверные скидки на свои продукты. И если бы не фраза о том, что обладатель этого письма стал 25 из 100 избранных, может не так быстро удалось бы обнаружить подвох.
Анализ «подарочного» плагина, сделанный Даниэлем Кидом из Sucuri, показал, что за основу был взят подлинный код плагина “All in One SEO Pack”. В списке файлов содержался сценарий aioseop_class.php, который выполнял PHP код по адресу hxxp://91.239.15.61/o1.txt.
Таким образом злоумышленники переписывали содержимое файла /index.php. Измененный индексный файл использовал curl для подключения к адресу hxxp://91.239.15.61/java/google.php. Затем выполнялся код, который присутствовал по вышеуказанному адресу. По существу шла обычная эксплуатация уязвимостей в браузерах пользователей, перенаправления на внешние сайты и т.п.
От классики до авангарда — наука во всех жанрах