Хакеры используют поддельные DDoS-страницы WordPress для запуска вредоносных программ

Дядя Влад

Согласно новому отчету, хакеры продвигают распространение опасного вредоносного ПО через веб-сайты WordPress через поддельные страницы защиты от распределенного отказа в обслуживании ( DDoS ) Cloudflare.

Как сообщают PCMag и Bleeping Computer , веб-сайты, основанные на формате WordPress, взламываются злоумышленниками с помощью NetSupport RAT и трояна для кражи паролей (RaccoonStealer), если жертвы попадаются на уловку.

Цифровое изображение ноутбука, взломанного хакером.

Фирма по кибербезопасности Sucuri подробно рассказала , как хакеры взламывают сайты WordPress, у которых нет прочной основы безопасности, чтобы внедрить полезные нагрузки JavaScript, которые, в свою очередь, демонстрируют поддельные предупреждения DDoS защиты Cloudflare.

Когда кто-то посещает один из этих скомпрометированных сайтов, ему будет предложено физически нажать кнопку, чтобы подтвердить проверку защиты от DDoS-атак. Это действие приведет к загрузке файла «security_install.iso» в вашу систему.

Отсюда инструкции просят человека открыть зараженный файл, замаскированный под программу под названием DDOS GUARD, в дополнение к вводу кода.

Также присутствует другой файл, security_install.exe — ярлык Windows, который выполняет команду PowerShell через файл debug.txt. После открытия файла в систему загружается популярный троян удаленного доступа NetSupport RAT. Сценарии, которые запускаются после получения доступа к ПК, также установят и запустят троян для кражи паролей Raccoon Stealer.

Первоначально закрытый в марте 2022 года, Raccoon Stealer вернулся в июне с рядом обновлений. После успешного открытия в системе жертвы Raccoon 2.0 будет сканировать пароли, файлы cookie, данные автозаполнения и данные кредитной карты, которые хранятся и сохраняются в веб-браузерах. Он также может красть файлы и делать скриншоты рабочего стола.

Как отмечает Bleeping Computer, экраны защиты от DDoS-атак становятся нормой. Их цель — защитить веб-сайты от вредоносных ботов, пытающихся отключить их серверы, заполнив их трафиком. Однако, похоже, хакеры нашли лазейку, чтобы использовать такие экраны в качестве маскировки для распространения вредоносных программ.

Имея это в виду, Sucuri советует администраторам WordPress просматривать файлы тем, на которых злоумышленники концентрируют свои усилия. Кроме того, веб-сайт безопасности подчеркивает, что файлы ISO не будут задействованы в экранах защиты от DDoS, поэтому не загружайте ничего подобного.

В течение 2022 года действия хакеров, вредоносных программ и программ-вымогателей становятся все более распространенными. Например, схема «взлом как услуга» предлагает возможность украсть пользовательские данные всего за 10 долларов . Как всегда, убедитесь, что вы укрепили свои пароли и включили двухфакторную аутентификацию на всех своих устройствах и учетных записях.