Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Ландшафт киберугроз: от модного термина к рабочему инструменту

Вебинар 23 июня в 14:00. Подробный разбор от TI-экспертов PT ESC

Заражение через рекламу. Хакеры взломали вспомогательный сервер и получили доступ к миллионам сайтов на WordPress

leer en español

5163
OptinMonster WordPress CDN Awesome Motive Sansec атака на цепочку поставок бэкдор
Заражение через рекламу. Хакеры взломали вспомогательный сервер и получили доступ к миллионам сайтов на WordPress
OptinMonster WordPress CDN Awesome Motive Sansec атака на цепочку поставок бэкдор

Вредоносный код просыпался, когда законный владелец заходил проверить свою страницу.

image

Популярные плагины для WordPress оказались в центре атаки на цепочку поставок — злоумышленники взломали не сами продукты, а инфраструктуру их распространения. Под удар попали три плагина компании Awesome Motive: OptinMonster, TrustPulse и PushEngage. Первый установлен минимум на 1,2 миллиона сайтов и используется для генерации лидов и оптимизации конверсии. Атаку обнаружила компания Sansec, занимающаяся безопасностью в сфере электронной коммерции.

Злоумышленники проникли на вспомогательный маркетинговый сервер Awesome Motive, воспользовавшись известной уязвимостью в плагине UpdraftPlus. Сервер не был связан с рабочей инфраструктурой компании, однако на нём хранились учётные данные от аккаунта в сети доставки контента (CDN). Получив ключ API, атакующие подменили JavaScript-файлы, которые CDN раздавал пользователям плагинов.

Вредоносный скрипт срабатывал, когда администратор WordPress заходил на заражённую страницу: код перехватывал токены аутентификации и создавал фиктивный аккаунт администратора. Затем на сайт устанавливался скрытый плагин-бэкдор с веб-оболочкой и возможностью удалённого выполнения кода. Для передачи украденных данных использовался домен, имитирующий сервис Tidio. Чтобы затруднить обнаружение, плагин периодически менял название — в частности, маскировался под «Content Delivery Helper» и «Database Optimizer».

Вредоносные скрипты начали распространяться 12 июня: OptinMonster и TrustPulse — в течение нескольких часов, PushEngage — до 14 июня. Awesome Motive восстановила сервер, перенесла его на новую площадку и сменила все учётные данные, включая ключ CDN. Исходный код, серверы приложений и пользовательские данные затронуты не были.

Владельцам сайтов, использовавших эти плагины 12–13 июня, рекомендуется проверить панель администратора на наличие посторонних аккаунтов с именами «developer_api1» или «dev_» с любым продолжением, а также просканировать директорию wp-content/plugins на скрытые плагины. Дополнительно стоит провести сканирование на сервере на вредоносный код и сменить пароли администраторов, ключи API, учётные данные базы данных и ключи безопасности WordPress.

Даже после удаления вредоносных скриптов из CDN сайты, на которых остались бэкдоры и фиктивные аккаунты, по-прежнему находятся под контролем злоумышленников.