Обнаружен бэкдор в тысячах сайтов на WordPress

Команда исследователей в сфере информационной безопасности обнаружила вредоносный код в тысячах сайтов на WordPress. С помощью данного бэкдора злоумышленники способы переадресовывать пользователей на поддельные сайты технической поддержки.

В чем суть уязвимости?

Исследователи из Malwarebytes полагают, что злоумышленники используют уязвимости не в самой системе WordPress, а в устаревших темах и плагинах. Как правило, заражение сайта вредоносным кодом происходит с помощью изменения PHP или JavaScript файлов. Впрочем, некоторые пользователи также заявили об обнаружении вредоносных изменений в базах данных.

После получения доступа к сайту злоумышленники перенаправляют часть пользователей на поддельные страницы технической поддержки. Цель подобного обмана — продажа ненастоящих антивирусных программ или получение удаленного доступа к компьютеру пользователя.

Кроме того, часть подобных мошеннических схем также использует баг Google Chrome под названием «evil cursor», который не позволяет пользователю закрыть вредоносный сайт.

Насколько распространена уязвимость?

Согласно отчету исследователей, вредоносный код можно найти на более чем 2500 сайтах. Однако реальное количество зараженных ресурсов может оказаться значительно больше, поскольку значение в 2500 было получено обыкновенным поиском в Google части вредоносного кода на JavaScript. Владельцам веб-сайтов, пострадавших от атак, нужно будет определить, с помощью чего произошло заражение, и выполнить тщательную очистку страниц и баз данных.

Напомним, что это не единственная уязвимость, способная навредить сайтам на данной CMS. В конце августа 2018 года на конференции BSides представили доклад об уязвимости WordPress, также способной нанести ущерб многочисленному количеству сайтов. Впрочем, несмотря на то, что о проблеме известно уже более года, она так и не была решена.