Зафиксированы две независимые кампании вредоносной активности, каждая из которых охватывает тысячи сайтов. Первая кампания нацелена на более чем 1 000 сайтов на WordPress с заражением через внедрение JavaScript-кода, вторая же поражает свыше 35 000 веб-ресурсов, включая свыше 115 интернет-магазинов, с перехватом управления браузерами и перенаправлением на китайские игорные платформы.
Заражение WordPress-сайтов происходит посредством стороннего внедрения зловредного JavaScript-кода, сервером которого выступает домен cdn.csyndication[.]com. Обнаружено, что на 908 сайтах имеются прямые ссылки на данный ресурс, что позволяет злоумышленникам настраивать несколько точек доступа к заражённым системам.
Для обеспечения постоянного доступа на каждом заражённом сайте внедряются четыре отдельные обратные двери. Первый механизм включает установку поддельного плагина «Ultra SEO Processor» для выполнения команд злоумышленника. Второй механизм модифицирует файл wp-config.php, а третий добавляет SSH-ключ в файл ~/.ssh/authorized_keys, предоставляя возможность удалённого доступа. Четвёртый механизм исполняет удалённые команды с загрузкой дополнительного полезного кода с ресурса gsocket[.]io, что, по всей видимости, предназначено для установления обратной shell-сессии. Как отметил исследователь Химаншу Ананд: «Создание четырёх обратных дверей предоставляет злоумышленникам несколько точек повторного доступа, если одна из них будет обнаружена и устранена».
Вторая кампания характеризуется полной хитровзломанностью браузера пользователя с его дальнейшим перенаправлением на страницы игорного бренда «Kaiyun». Злоумышленники используют внедрение вредоносного JavaScript, который полностью захватывает окно браузера, что приводит к автоматической переадресации на целевой ресурс.
Перенаправление осуществляется посредством пяти различных доменов, задействованных как загрузчики основного полезного кода, среди которых mlbetjs[.]com, ptfafajs[.]com, zuizhongjs[.]com, jbwzzzjs[.]com и неполный домен jpbkte. Вредоносный скрипт является компонентом набора Bablosoft BrowserAutomationStudio (BAS), разработанного сингапурской компанией, и дополнительно снабжён функциями для сбора информации о системе и браузере посетителей.
Злоумышленники также эксплуатируют известные уязвимости в платформах Magento, в частности CVE-2024-34102 (известную как CosmicSting) и CVE-2024-20720. Финансово мотивированный атакующий впервые был замечен в дикой природе в конце мая 2024 года. По словам специалистов Group-IB, «браузерное отпечаткование — мощная техника, широко используемая сайтами для отслеживания активности пользователей и адаптации маркетинговых стратегий», данные которой злоумышленники применяют для имитации легитимного поведения, обхода систем защиты и проведения мошеннических операций.
Рекомендуется проводить оперативное удаление несанкционированных SSH-ключей, своевременную замену учетных данных администратора WordPress и тщательный мониторинг системных логов. Принятие соответствующих мер безопасности особенно критично для владельцев сайтов и интернет-магазинов, позволяя снизить уязвимость перед быстроразвивающимися кибератаками.
Изображение носит иллюстративный характер
Заражение WordPress-сайтов происходит посредством стороннего внедрения зловредного JavaScript-кода, сервером которого выступает домен cdn.csyndication[.]com. Обнаружено, что на 908 сайтах имеются прямые ссылки на данный ресурс, что позволяет злоумышленникам настраивать несколько точек доступа к заражённым системам.
Для обеспечения постоянного доступа на каждом заражённом сайте внедряются четыре отдельные обратные двери. Первый механизм включает установку поддельного плагина «Ultra SEO Processor» для выполнения команд злоумышленника. Второй механизм модифицирует файл wp-config.php, а третий добавляет SSH-ключ в файл ~/.ssh/authorized_keys, предоставляя возможность удалённого доступа. Четвёртый механизм исполняет удалённые команды с загрузкой дополнительного полезного кода с ресурса gsocket[.]io, что, по всей видимости, предназначено для установления обратной shell-сессии. Как отметил исследователь Химаншу Ананд: «Создание четырёх обратных дверей предоставляет злоумышленникам несколько точек повторного доступа, если одна из них будет обнаружена и устранена».
Вторая кампания характеризуется полной хитровзломанностью браузера пользователя с его дальнейшим перенаправлением на страницы игорного бренда «Kaiyun». Злоумышленники используют внедрение вредоносного JavaScript, который полностью захватывает окно браузера, что приводит к автоматической переадресации на целевой ресурс.
Перенаправление осуществляется посредством пяти различных доменов, задействованных как загрузчики основного полезного кода, среди которых mlbetjs[.]com, ptfafajs[.]com, zuizhongjs[.]com, jbwzzzjs[.]com и неполный домен jpbkte. Вредоносный скрипт является компонентом набора Bablosoft BrowserAutomationStudio (BAS), разработанного сингапурской компанией, и дополнительно снабжён функциями для сбора информации о системе и браузере посетителей.
Злоумышленники также эксплуатируют известные уязвимости в платформах Magento, в частности CVE-2024-34102 (известную как CosmicSting) и CVE-2024-20720. Финансово мотивированный атакующий впервые был замечен в дикой природе в конце мая 2024 года. По словам специалистов Group-IB, «браузерное отпечаткование — мощная техника, широко используемая сайтами для отслеживания активности пользователей и адаптации маркетинговых стратегий», данные которой злоумышленники применяют для имитации легитимного поведения, обхода систем защиты и проведения мошеннических операций.
Рекомендуется проводить оперативное удаление несанкционированных SSH-ключей, своевременную замену учетных данных администратора WordPress и тщательный мониторинг системных логов. Принятие соответствующих мер безопасности особенно критично для владельцев сайтов и интернет-магазинов, позволяя снизить уязвимость перед быстроразвивающимися кибератаками.
