С конца декабря команда Sucuri отслеживает новый всплеск заражений сайтов WordPress.
Эти инфекции используют уязвимости в устаревших версиях WordPress для получения доступа к сайтам. Получив контроль, они внедряют вредоносный код, который отображает нежелательную рекламу и перенаправляет посетителей на другие сайты - в том числе на мошеннические сайты техподдержки, сайты знакомств для взрослых, фишинговые сайты или сайты, загружаемые по принципу drive-by-downloads. В этой конкретной кампании первый тип инъекции - простой тег скрипта, а второй тип - обфусцированный JavaScript, использующий функцию 'fromCharCode'.
Indicators of Compromise
Domains
- dusyguri.com
- ezstat.ru
- files.findtrustclicks.com
- news.weatherplllatform.com
- track.greengoplatform.com
- violetlovelines.com
- way.specialblueitems.com
- wholegrady.com
SHA256
- 55059bbcfb9342300ccdf208c161bd33a28f063a8f270d749a1aaef90ed2f58f