PHP-скрипт заразил 5000 сайтов: он является частью масштабного спам-ботнета
Новости
Спам-ботнет Brain Food отправляет пользователям письма с ссылкой на сайт, зараженный вредоносным PHP-скриптом, который является точкой перенаправления для масштабной спам-кампании. После перехода пользователя по ссылке из письма скрипт отправляет жертву на ресурс, продающий таблетки.
942 открытий956 показов
Исследователь Эндрю Конвей (Andrew Conway) из Proofpoint обнаружил вредоносный PHP-скрипт, который успел заразить 5000 сайтов за несколько месяцев, более 2000 из которых — за последнюю неделю. Он является частью спам-ботнета Brain Food, помогающего продавать таблетки для повышения IQ и похудения.
Как происходит заражение?
Операторы Brain Food заражают сайты, базирующиеся на различных CMS, включая WordPress и Joomla. Скрипт позволяет хакерам удаленно запускать и изменять код, но они используют его как точку перенаправления для широкомасштабной спам-кампании.
Затем они отправляют жертвам письмо с сокращенной ссылкой, ведущей на зараженный сайт. После перехода скрипт перенаправляет пользователя на другой ресурс, который продает таблетки.
Кроме того, хакеры предусмотрели возможность изменения конечной точки перенаправления в зависимости от спам-кампании. Также скрипт собирает статистику переходов по ссылке.
Какие сайты под угрозой?
Согласно исследованию Proofpoint, большинство зараженных сайтов базируется на сети GoDaddy. Скрипт не использует специфические уязвимости различных CMS, работая на множестве платформ.
Код скрипта зашифрован несколькими уровнями кодировки base64, а также имеет защиту от автоматического индексирования Google. Он отвечает поисковым запросам с ошибкой 404.
Хотя вредоносный скрипт не причиняет прямого вреда пользователям, он опасен для зараженных сайтов, поскольку злоумышленники могут запустить любой код удаленно.
С начала 2018 года это далеко не первая масштабная атака ботнета. В середине мая активизировался Satori, который сканировал Сеть на предмет открытых портов для майнингового оборудования.
942 открытий956 показов