Исследователи безопасности компании GoDaddy обнаружили более 6 000 сайтов WordPress, зараженных новым вариантом вредоносной программы ClickFix, также известной как ClearFake, которая распространяется через поддельные плагины WordPress.
ClickFix Malware
Названия некоторых из взломанных WordPress-сайтов имитируют легитимные плагины. Bleeping Computer приводит список вредоносных плагинов, которые были замечены в период с июня по сентябрь 2024 года. Эти поддельные плагины содержат скрипты, которые внедряют вредоносный JavaScript в HTML сайта, который затем пытается загрузить другой вредоносный JavaScript из смарт-контракта Binance Smart Chain (BSC), в итоге отображая поддельные обновления и сообщения об ошибках, используемые для распространения вредоносных программ, похищающих информацию. Исследователи GoDaddy обнаружили закономерность в именовании файлов JavaScript, состоящую из первой буквы каждого слова в названии плагина с добавлением «-script.js». Содержимое метаданных плагина является поддельным и включает в себя название плагина, URL, описание, версию, автора, URI автора и т. д. URI плагина и автора часто ссылаются на GitHub, однако соответствующие репозитории плагинов на GitHub не существуют. Предполагается, что злоумышленники используют украденные учетные данные администратора для входа на сайты WordPress и автоматической установки плагинов.
Bleeping Computer советует администраторам WordPress проверить установленные плагины на наличие нераспознанных записей и, в случае обнаружения неизвестных плагинов, сбросить пароли администраторов.
Indicators of Compromise
Domains
- ajsdiaolke.shop
- dais7nsa.pics
- daslkjfhi2.lol
- md928zs.shop
- mdasidy72.lol
- mdasidy72.mom
- ndas8m92.shop
- ndm2398asdlw.shop
- peskpdfgif.shop
- skibidirizz.lol
- smolcatkgi.shop
- x99y.xyz
