Более 1000 сайтов на WordPress были заражены вредоносным кодом

Более 1000 сайтов на WordPress были заражены вредоносным JavaScript-кодом, который создает несколько бэкдоров, позволяя злоумышленникам сохранять доступ даже после удаления одного из них. Вредоносный код был обнаружен на cdn.csyndication[.]com, а 908 сайтов уже содержат ссылки на этот ресурс.

Атака начинается с загрузки и установки поддельного плагина «Ultra SEO Processor», который используется для выполнения команд хакеров. Затем вредоносный код внедряется в wp-config.php, что позволяет злоумышленникам управлять сайтом. Дополнительно в систему добавляется их SSH-ключ, обеспечивая постоянный удаленный доступ. В финальной стадии вредоносный код загружает дополнительные компоненты, предназначенные для удаленного управления сервером.

Чтобы защитить сайты, пользователям рекомендуется удалить несанкционированные SSH-ключи, сменить пароли администратора и контролировать системные журналы на предмет подозрительной активности.

Параллельно киберпреступники запустили еще одну кампанию, заразившую более 35 000 сайтов. Вредоносный JavaScript блокирует окно браузера пользователей и перенаправляет их на китайские игровые платформы. Атака нацелена на регионы, где распространен мандаринский диалект, а конечные страницы содержат контент под брендом «Kaiyun».

Кроме того, компания Group-IB сообщила о хакерской группе ScreamedJungle, использующей JavaScript Bablosoft JS для компрометации сайтов Magento. Их целью является сбор цифровых отпечатков посетителей, что позволяет обходить системы безопасности и совершать мошеннические действия. Под угрозой уже более 115 интернет-магазинов, а атаки ведутся с мая 2024 года.

Вредоносная кампания ClickFix: как хакеры заразили 6000 сайтов WordPress за один день

Источник: securenews.ru