Зеркальный обман: легитимные WordPress-сайты превращаются в приманку для кражи данных

Атака начинается с безобидного, на первый взгляд, посещения легитимного сайта австралийской организации. Однако взломщики заранее внедрили в код ресурса вредоносный сценарий. Когда пользователь заходит на такую страницу, его встречает поддельная форма проверки Cloudflare с требованием подтвердить, что он не робот. Эта социальная инженерия носит название ClickFix, и она чрезвычайно эффективна. Вместо того чтобы самостоятельно взламывать систему, злоумышленники заставляют жертву сделать всю работу своими руками.

Механика ClickFix изощрённа. После того как посетитель нажимает кнопку "Я не робот", вредоносный код копирует в буфер обмена команду PowerShell. Всплывающее окно предлагает пользователю открыть командную строку с правами администратора и вставить скопированный текст. Многие, не заподозрив обмана, выполняют инструкцию. Тем самым они запускают цепочку загрузки и активации Vidar Stealer. Эта программа-похититель данных специализируется на краже учётных данных, паролей из браузеров, информации о криптовалютных кошельках и системных параметров. Системные администраторы должны понимать, что такая угроза обходит традиционные антивирусные барьеры, ведь запуск вредоносной команды совершает сам доверенный пользователь.

Австралийский центр кибербезопасности зафиксировал ключевые технические детали. Взломщики не просто заражают сайты, а создают целую инфраструктуру перенаправления. Вредоносные домены загружают JavaScript-код с внешнего сервера API, который полностью перезаписывает содержимое легитимной страницы. Обфусцированная команда PowerShell, которую жертве предлагают выполнить, содержит URL для загрузки исполняемого файла Vidar. Сам похититель после запуска применяет методы защиты от обнаружения: он удаляет свой исполняемый файл с диска, работая преимущественно в оперативной памяти. Это сильно затрудняет криминалистический анализ инцидента.

После внедрения Vidar устанавливает связь с сервером управления (C2). Интересно, что первоначальные адреса C2 злоумышленники получают через так называемые "мёртвые ссылки" (dead-drop URLs). Для этого они активно используют общедоступные сервисы, такие как боты в Telegram или профили в Steam. Такой подход делает обнаружение и блокировку инфраструктуры крайне сложной задачей для служб безопасности. Последующая активность "жучка" представляет собой HTTP/S POST-запросы, которые передают украденные данные. Конечная цель - кража учётных записей, которые затем можно использовать для более глубокого проникновения в корпоративные сети или хищения финансов.

Почему эта кампания вызывает особую тревогу? Ответ кроется в векторе атаки. Злоумышленники не используют спам-рассылки с вредоносными вложениями, которые часто отсеиваются почтовыми фильтрами. Они компрометируют сайты, которые вызывают доверие у пользователей. Австралийские организации, ставшие жертвой, - это не только крупный бизнес, но и государственные учреждения, малые предприятия и некоммерческие фонды. Все они используют WordPress, популярность которого делает его главной мишенью. В отчёте подчёркивается, что уязвимости в необновлённых плагинах и темах - основной канал проникновения.

Специалисты ASD's ACSC дают практические рекомендации для защиты. Прежде всего, владельцам сайтов необходимо жёстко контролировать установку обновлений WordPress, всех плагинов и тем. Устаревшее и неиспользуемое расширение ПО должно немедленно удаляться. Для конечных пользователей главное правило - никогда не копировать и не выполнять команды из всплывающих окон или подозрительных страниц. Любое требование ввести код в терминал с административными правами - почти наверняка ловушка. Организациям стоит ограничить выполнение скриптов PowerShell и использовать белые списки разрешённых приложений. Многофакторная аутентификация, устойчивая к фишингу, поможет снизить ущерб даже в случае кражи паролей.

Сейчас атаки с использованием ClickFix и Vidar Stealer стали серьёзным вызовом для австралийского киберпространства. Но эта угроза носит глобальный характер. Методика, основанная на социальной инженерии и эксплуатации доверия к легитимным сайтам, может быть легко адаптирована для атак на организации в любой стране. Кампания наглядно демонстрирует, что в современной кибербезопасности нет мелочей. Своевременное обновление веб-приложений, обучение персонала основам цифровой гигиены и внедрение политик строгого контроля выполнения сценариев - вот единственный способ разорвать цепочку заражения. Игнорирование этих правил может превратить собственный корпоративный сайт в оружие против компании.

IPv4

• 135.181.233.225
• 138.199.160.74
• 162.55.49.190
• 195.201.248.201
• 204.168.172.164
• 46.224.44.185
• 65.108.18.23
• 78.47.162.8
• 89.167.24.138
• 95.217.50.19

Domains

• allplanetssame.cfd
• antongandon.club
• ap7.supportly.au
• biggestchlen.lol
• biggestchlen.xyz
• blatnoitovar.xyz
• cloudflare-check.cfd
• denegnet.click
• diddyparty.click
• ggl.expertcs.au
• goodgoodmoon.bond
• gy4q.supportly.au
• krempie.xyz
• landbankseeds.com
• merengagoi.bond
• microblob.bond
• microblogver.bond
• microloh.bond
• mybiggestjoy.bond
• mymicroblog.lat
• myverifhouse.sbs
• plh.bespokedigital.au
• pr1.codetohaven.com
• pr1.skfilmsint.com
• productionmaza.bond
• productionmaza.cfd
• productionmaza.cyou
• webanalytics-cdn.cfd
• webanalytics-cdn.cyou
• webanalytics-cdn.sbs
• yas.shuvocomputer.org
• yas.ssffaa2.xyz

URLs

• https://steamcommunity.com/profiles/76561198719385745
• https://steamcommunity.com/profiles/76561198721902688
• https://steamcommunity.com/profiles/76561198724155486
• https://steamcommunity.com/profiles/76561198728266687
• https://steamcommunity.com/profiles/76561198732697044
• https://telegram.me/mm8hyx
• https://telegram.me/nwwfh8
• https://telegram.me/p74kol
• https://telegram.me/v1d2v
• https://telegram.me/v2ts23m

SHA256

• 117bfb53042a10ce30b58f82416a14e10d081929f1b11a0cba7fd4f5812900d1
• 27849667ab5ac9460e66cdbe4f58a481b37953fdcd727253a18da0b7535c9bae
• 3292e70908e899328e07480dc7d141a6bcd710bb7419440cb5ebac55977bb335
• 3f0fe92c0e1c4663dcb851ce0fc97ddaed25b559be1d6e2cc0f66304ac652e38
• 4162dfc409dd2855deb33cdc2828e9aa866985d187b1463550feb359f3cbd954
• 4756495416851880a8b82275923cfe57e66e65e3a65b3bb07e3908c73ed0bce1
• 4e67c4be60661433d080b2857a1da82966309afec696c4c6e65fcf051cdfc332
• 57945a8b58b6b1e15da6ec4949607c6a35e33ca95ef0827701066b8272687e0e
• 5c3b8289aae8beeda82671ef5e1259debbd0aa5dcf2010fba8f5bbe4a5e32d90
• 695965c1cb86d5ea052fd78fcf061050fde4745699cb12e02974df60f95d55cb
• 7f9af7953864dd5c39f0defacfb8d396eb964a876569aa7f00b76a3bd3961277
• 9e6b5712a176c79049cb9a4cea1fdb1110d41cb1d9afa6ff42043ad06c933b74
• bb6ab241501ebdbeedc42a8c8fc585cd195f1d9b46c4569bb68b24f47eaa8183
• d14066075079d3bed64a548bca1dfc50944eed99c8d0d14e737c2ff0e24b402a
• e3423dd0368a88dd25b355affe8f6b740f5fc9a569150caea6979f612abf7f40
• ed11f357b4579d79541dde886dbe7d03ad53c05c597c75a90b55858aacccd511
• f323744c6c20433d124245a6f374c182a259aa5e34b0d6e15e42d42a40137a66