Злоумышленники незаметно скомпрометировали легитимные сайты на WordPress, включая предвыборный сайт кандидата в Сенат США, превратив их в плацдармы для глобальной операции по краже данных.
Исследователи из Rapid7 сообщают, что схема работает путем внедрения вредоносного кода на скомпрометированные сайты, которые затем показывают посетителям убедительную поддельную страницу CAPTCHA от Cloudflare. Вместо простого подтверждения, что вы не робот, запрос предписывает пользователям скопировать и выполнить команду на своей машине — шаг, который в конечном итоге инициирует загрузку вредоносного ПО для кражи учетных данных.
Уловка срабатывает, поскольку атака начинается на сайтах, которые в остальном выглядят совершенно легитимными. Посетители думают, что просто проходят очередную проверку бота Cloudflare — такую, какой изобилует современный веб, — тогда как на самом деле их проводят через первый этап заражения собственной машины.
Эта техника является частью уже хорошо известного сценария социальной инженерии ClickFix, в котором злоумышленники убеждают жертв самостоятельно выполнять команды под видом исправления или верификации чего-либо в их системах.
Зараженные сайты охватывают широкий спектр организаций. По данным Rapid7, среди скомпрометированных страниц — региональные СМИ, сайты малого бизнеса и «в одном случае даже официальная веб-страница кандидата в Сенат Соединенных Штатов». Компания сообщила, что уведомила власти США для расследования проблемы и ее устранения.
Более того, масштаб деятельности говорит о том, что это не кто-то, вручную взламывающий сайты по одному.
«Масштабное исполнение компрометации в совершенно не связанных между собой инсталляциях WordPress предполагает высокий уровень автоматизации со стороны злоумышленника и, вероятно, является частью организованной долгосрочной криминальной деятельности», — заявил исследователь безопасности Rapid7 Милан Спинка.
Как только жертва следует инструкциям на поддельной странице верификации, цепочка атаки может установить infostealer — вредоносное ПО, предназначенное для скрытого сбора полезных данных с зараженной машины. Обычно это включает учетные данные, сохраненные в браузере, аутентификационные куки, информацию о криптовалютных кошельках и другие цифровые трофеи.
Эти украденные учетные данные редко задерживаются у первоначального злоумышленника надолго. Логи infostealer регулярно упаковываются и продаются на рынках киберпреступности, где другие преступники могут купить готовый доступ к учетным записям электронной почты, корпоративным системам и онлайн-сервисам, не прибегая к собственным взломам.
Кампания в ее нынешнем виде активна как минимум с декабря 2025 года, хотя некоторая инфраструктура, лежащая в ее основе — включая доменные регистрации, используемые в цепочке атак — датируется июлем и августом прошлого года.
На данный момент Rapid7 обнаружила более 250 скомпрометированных веб-сайтов как минимум в 12 странах, включая Австралию, Бразилию, Канаду, Чехию, Германию, Индию, Израиль, Сингапур, Словакию, Швейцарию, Великобританию и США.
Использование скомпрометированных веб-сайтов в качестве механизма доставки дает операторам полезный уровень маскировки. Инструменты безопасности и пользователи в равной степени менее подозрительно относятся к хорошо известным доменам, чем к недавно зарегистрированным вредоносным сайтам, а злоумышленники получают возможность паразитировать на репутации того, чей сайт оказался взломан.
®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
