Обнаружена кампания по инфицированию сайтов на базе популярных CMS
В записи базы данных сайтов встраивается JavaScript-код, отображающий вредоносную рекламу.
Специалисты компании Revisium обнаружили вредоносную кампанию, направленную на сайты на основе популярных систем управления контентом (CMS). Злоумышленники встраивают сторонний JavaScript-код в базу данных ресурсов.
Инъекция кода осуществляется следующим образом: в свежие записи в таблице страниц вставляется обфусцированный JavaScript-сценарий с фреймом <iframe>, загружающий вредоносные рекламные объявления. Подобный код был обнаружен на сайтах под управлением WordPress, Joomla, DataLife Engine и прочих CMS.
Вредоносную кампанию достаточно сложно обнаружить. Анализ SQL-запросов в журналах и сканирование файлов на учетной записи хостинга не приносят никаких результатов. Также в журнале web-сервера не отображаются записи об атаках или несанкционированных операциях, позволяющих внедрить вредоносный код.
Как выяснилось, код внедряется через вредоносное расширение для браузера. Если владелец или администратор ресурса разместит новую запись, используя инфицированный браузер, к POST-запросу прикрепляется ответственный за отображение рекламы JavaScript-сценарий.
Проблема решается с помощью удаления вредоносного расширения или переустановки браузера.
Напомним, несколькими днями ранее специалисты Sucuri обнаружили похожую вредоносную кампанию, нацеленную на сайты под управлением WordPress.
Устали от того, что Интернет знает о вас все?