Хакеры запустили MLM-пирамиду из вредоносов — и превратили 10000 сайтов в саморазвивающиеся машины для взломов

В сети обнаружена масштабная кампания по компрометации WordPress-сайтов , связанная с эволюцией системы Help TDS и вредоносного плагина woocommerce_inputs. Согласно исследованию GoDaddy Security, с конца 2024 года до июня 2025 года разработчики Help TDS последовательно улучшали свою инфраструктуру и функциональность вредоноса, превратив его из простой системы перенаправления трафика в полноценную платформу для монетизации взломанных сайтов.

Help TDS — это Traffic Direction System, активная как минимум с 2017 года. Она используется для перенаправления пользователей с заражённых ресурсов на целевые страницы технической поддержки , где посетителей убеждают в наличии несуществующих угроз и вынуждают платить за «срочное устранение проблем». Система поддерживает альтернативные сценарии монетизации: перенаправления на фишинговые сайты, криптовалютные аферы, сервисы знакомств и лотерейные страницы.

В последние месяцы инфраструктура Help TDS тесно интегрирована с вредоносным WordPress-плагином woocommerce_inputs, который атакующие устанавливают через украденные учётные данные администраторов. Этот плагин маскируется под легитимный компонент WooCommerce, но в официальном репозитории WordPress его нет. С его помощью злоумышленники собирают учётные данные пользователей, перенаправляют поисковой трафик на поддельные страницы Microsoft Windows Security Alert и динамически обновляют вредоносный код через C2-серверы Help TDS.

Согласно данным GoDaddy, плагин прошёл несколько крупных стадий эволюции:

• Версия 1.4 (конец 2024 года) ввела географическую фильтрацию трафика, скрытую активацию и управление cookie для незаметного перенаправления только нужных посетителей.

• Версия 1.5 (май 2025) добавила функцию кражи учётных данных WordPress, включая логины и email-адреса, с последующей отправкой на C2 pinkfels[.]shop.

• Версия 1.7 расширила объём атак, начав перенаправлять всех новых пользователей из поисковых систем, а не только ограниченные регионы.

• Версия 2.0.0 (июнь 2025) получила автономный механизм обновлений: плагин ежедневно запрашивает новые версии на C2 и заменяет себя без участия администратора.

• Версия 3.0.0 (июль 2025) стала самым сложным вариантом — она способна заражать сайты на любых CMS, использовать избыточные механизмы закрепления и устранять конкурирующий вредонос, но встречается редко из-за нестабильности и множества ошибок.

Инфраструктура Help TDS использует распределённую архитектуру, опираясь на каналы в Telegram, динамические домены и C2-серверы, такие как pinkfels[.]shop, для получения свежих URL-адресов перенаправления и загрузки обновлений. Исследователи зафиксировали автоматизированную логику, которая кэширует данные кампаний, устанавливает уникальные идентификаторы и использует cookie, чтобы не перенаправлять одного и того же посетителя дважды.

По оценкам GoDaddy, в результате кампании заражено более 10 000 WordPress-сайтов по всему миру. Анализ логов показал, что злоумышленники заходят в административную панель под валидными учётными данными, загружают плагин, активируют его и используют прокси для скрытия происхождения атак.

Специалисты предупреждают, что уязвимость цепочки компрометаций делает атаку самоподдерживающейся: украденные пароли используются для установки плагина, который затем собирает новые учётные данные и передаёт их в Help TDS, создавая эффект «замкнутого цикла».

Для защиты от подобных атак GoDaddy рекомендует:

• обязательное использование многофакторной аутентификации для администраторов;

• регулярные проверки установленных плагинов и аудиты файлов WordPress;

• мониторинг появления несанкционированных таблиц БД и задач по расписанию;

• установку инструментов для анализа вредоносных редиректов и эксфильтрации данных;

• контроль подключений к подозрительным C2-узлам, таким как pinkfels[.]shop.

Help TDS эволюционировала в полноценную платформу malware-as-a-service (MaaS), объединив в себе редиректы, кражу данных, автообновления и динамическую инфраструктуру. Кампания остаётся активной, а количество заражённых сайтов продолжает расти.