Как взломанные сайты WordPress становятся оружием для фишинга нового поколения?

Специалисты компании по кибербезопасности Sucuri зафиксировали активную кампанию по взлому сайтов на WordPress. Согласно анализу, опубликованному на прошлой неделе исследователем Пуджей Шриваставой, злоумышленники внедряют вредоносный код в файл темы functions.php. Для маскировки и уклонения от обнаружения в код добавляются фальшивые ссылки, имитирующие вызовы Google Ads.
Как взломанные сайты WordPress становятся оружием для фишинга нового поколения?
Изображение носит иллюстративный характер

Цепочка заражения начинается с отправки HTTP POST-запроса с взломанного сайта на домен brazilc[.]com. В ответ сервер присылает динамическую полезную нагрузку, которая загружает JavaScript-файл porsasystem[.]js с удаленного сервера. Домен porsasystem[.]com идентифицирован как часть системы распределения трафика (TDS) под названием Kongtuke. Эта TDS также известна под псевдонимами 404 TDS, Chaya_002, LandUpdate808 и TAG-124.

Согласно данным, опубликованным 19 сентября 2025 года в Mastodon-аккаунте "monitorsg", полный путь атаки выглядит следующим образом: после посещения скомпрометированного сайта выполняется скрипт porsasystem[.]com/6m9x.js, который ведет к porsasystem[.]com/js.php. В конечном итоге жертва перенаправляется на страницы фишинговой атаки нового поколения, известной как ClickFix, созданные для распространения вредоносного программного обеспечения.

Конечной целью этих перенаправлений являются фишинговые атаки, создание которых значительно упростилось благодаря новым инструментам. Исследователь Амер Эльсад из Palo Alto Networks Unit 42 описал фишинговый набор под названием IUAM ClickFix Generator. Этот конструктор позволяет злоумышленникам автоматически создавать убедительные фишинговые страницы, имитирующие проверку браузера со стороны сетей доставки контента (CDN).

Ключевые функции IUAM ClickFix Generator включают способность манипулировать буфером обмена жертвы, что является основой техники ClickFix, а также определять операционную систему пользователя для доставки совместимого вредоносного ПО. В ходе атак с использованием этого инструмента были замечены такие программы, как инфостилер DeerStealer и Odyssey Stealer, нацеленный на системы Apple macOS.

Появление подобных инструментов свидетельствует о коммерциализации атак. Компания Microsoft в августе 2025 года сообщила о росте числа коммерческих конструкторов ClickFix на подпольных форумах, который наблюдается с конца 2024 года. В качестве примера приводится еще один набор — Impact Solutions.

Производители фишинговых наборов, таких как Impact Solutions, обещают широкий спектр возможностей: создание целевых страниц с различными приманками (например, имитация Cloudflare), конструирование вредоносных команд для диалогового окна «Выполнить» в Windows, а также гарантированный обход антивирусных программ и систем веб-защиты, включая Microsoft Defender SmartScreen. Кроме того, эти наборы обеспечивают закрепление полезной нагрузки в системе жертвы.

Наиболее изощренной техникой уклонения стал новый вариант ClickFix, использующий «контрабанду кэша» (Cache Smuggling). Этот метод был обнаружен Маркусом Хатчинсом, главным исследователем угроз в компании Expel. Атака начинается с поддельной страницы проверки Fortinet VPN Compliance Checker.

Атака использует тактику FileFix, обманом заставляя пользователя вставить и выполнить команду в адресной строке Проводника Windows. Эта команда незаметно запускает PowerShell-скрипт через conhost.exe. Принципиальное отличие этого метода в том, что скрипт не загружает файлы и не связывается с командным сервером. Вместо этого он выполняет обфусцированную полезную нагрузку, которая была заранее загружена в кэш браузера под видом обычного JPEG-изображения (image/jpeg) в момент первого посещения фишинговой страницы.

Данный метод вызывает серьезную обеспокоенность, поскольку он обходит средства защиты, которые отслеживают прямые загрузки файлов, скрывая вредоносный код внутри безобидного кэшированного файла изображения.

Для защиты от подобных многоступенчатых атак владельцам сайтов на WordPress необходимо своевременно обновлять плагины, темы и ядро системы. Важно использовать надежные и уникальные пароли для всех учетных записей. Также рекомендуется регулярно сканировать сайты на наличие аномалий и проверять список пользователей на предмет появления несанкционированных учетных записей администраторов, которые могут использоваться для сохранения доступа к сайту.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка