Специалисты компании по кибербезопасности Sucuri зафиксировали активную кампанию по взлому сайтов на WordPress. Согласно анализу, опубликованному на прошлой неделе исследователем Пуджей Шриваставой, злоумышленники внедряют вредоносный код в файл темы
Цепочка заражения начинается с отправки HTTP POST-запроса с взломанного сайта на домен
Согласно данным, опубликованным 19 сентября 2025 года в Mastodon-аккаунте "monitorsg", полный путь атаки выглядит следующим образом: после посещения скомпрометированного сайта выполняется скрипт
Конечной целью этих перенаправлений являются фишинговые атаки, создание которых значительно упростилось благодаря новым инструментам. Исследователь Амер Эльсад из Palo Alto Networks Unit 42 описал фишинговый набор под названием IUAM ClickFix Generator. Этот конструктор позволяет злоумышленникам автоматически создавать убедительные фишинговые страницы, имитирующие проверку браузера со стороны сетей доставки контента (CDN).
Ключевые функции IUAM ClickFix Generator включают способность манипулировать буфером обмена жертвы, что является основой техники ClickFix, а также определять операционную систему пользователя для доставки совместимого вредоносного ПО. В ходе атак с использованием этого инструмента были замечены такие программы, как инфостилер DeerStealer и Odyssey Stealer, нацеленный на системы Apple macOS.
Появление подобных инструментов свидетельствует о коммерциализации атак. Компания Microsoft в августе 2025 года сообщила о росте числа коммерческих конструкторов ClickFix на подпольных форумах, который наблюдается с конца 2024 года. В качестве примера приводится еще один набор — Impact Solutions.
Производители фишинговых наборов, таких как Impact Solutions, обещают широкий спектр возможностей: создание целевых страниц с различными приманками (например, имитация Cloudflare), конструирование вредоносных команд для диалогового окна «Выполнить» в Windows, а также гарантированный обход антивирусных программ и систем веб-защиты, включая Microsoft Defender SmartScreen. Кроме того, эти наборы обеспечивают закрепление полезной нагрузки в системе жертвы.
Наиболее изощренной техникой уклонения стал новый вариант ClickFix, использующий «контрабанду кэша» (Cache Smuggling). Этот метод был обнаружен Маркусом Хатчинсом, главным исследователем угроз в компании Expel. Атака начинается с поддельной страницы проверки Fortinet VPN Compliance Checker.
Атака использует тактику FileFix, обманом заставляя пользователя вставить и выполнить команду в адресной строке Проводника Windows. Эта команда незаметно запускает PowerShell-скрипт через
Данный метод вызывает серьезную обеспокоенность, поскольку он обходит средства защиты, которые отслеживают прямые загрузки файлов, скрывая вредоносный код внутри безобидного кэшированного файла изображения.
Для защиты от подобных многоступенчатых атак владельцам сайтов на WordPress необходимо своевременно обновлять плагины, темы и ядро системы. Важно использовать надежные и уникальные пароли для всех учетных записей. Также рекомендуется регулярно сканировать сайты на наличие аномалий и проверять список пользователей на предмет появления несанкционированных учетных записей администраторов, которые могут использоваться для сохранения доступа к сайту.
functions.php. Для маскировки и уклонения от обнаружения в код добавляются фальшивые ссылки, имитирующие вызовы Google Ads. Изображение носит иллюстративный характер
Цепочка заражения начинается с отправки HTTP POST-запроса с взломанного сайта на домен
brazilc[.]com. В ответ сервер присылает динамическую полезную нагрузку, которая загружает JavaScript-файл porsasystem[.]js с удаленного сервера. Домен porsasystem[.]com идентифицирован как часть системы распределения трафика (TDS) под названием Kongtuke. Эта TDS также известна под псевдонимами 404 TDS, Chaya_002, LandUpdate808 и TAG-124. Согласно данным, опубликованным 19 сентября 2025 года в Mastodon-аккаунте "monitorsg", полный путь атаки выглядит следующим образом: после посещения скомпрометированного сайта выполняется скрипт
porsasystem[.]com/6m9x.js, который ведет к porsasystem[.]com/js.php. В конечном итоге жертва перенаправляется на страницы фишинговой атаки нового поколения, известной как ClickFix, созданные для распространения вредоносного программного обеспечения. Конечной целью этих перенаправлений являются фишинговые атаки, создание которых значительно упростилось благодаря новым инструментам. Исследователь Амер Эльсад из Palo Alto Networks Unit 42 описал фишинговый набор под названием IUAM ClickFix Generator. Этот конструктор позволяет злоумышленникам автоматически создавать убедительные фишинговые страницы, имитирующие проверку браузера со стороны сетей доставки контента (CDN).
Ключевые функции IUAM ClickFix Generator включают способность манипулировать буфером обмена жертвы, что является основой техники ClickFix, а также определять операционную систему пользователя для доставки совместимого вредоносного ПО. В ходе атак с использованием этого инструмента были замечены такие программы, как инфостилер DeerStealer и Odyssey Stealer, нацеленный на системы Apple macOS.
Появление подобных инструментов свидетельствует о коммерциализации атак. Компания Microsoft в августе 2025 года сообщила о росте числа коммерческих конструкторов ClickFix на подпольных форумах, который наблюдается с конца 2024 года. В качестве примера приводится еще один набор — Impact Solutions.
Производители фишинговых наборов, таких как Impact Solutions, обещают широкий спектр возможностей: создание целевых страниц с различными приманками (например, имитация Cloudflare), конструирование вредоносных команд для диалогового окна «Выполнить» в Windows, а также гарантированный обход антивирусных программ и систем веб-защиты, включая Microsoft Defender SmartScreen. Кроме того, эти наборы обеспечивают закрепление полезной нагрузки в системе жертвы.
Наиболее изощренной техникой уклонения стал новый вариант ClickFix, использующий «контрабанду кэша» (Cache Smuggling). Этот метод был обнаружен Маркусом Хатчинсом, главным исследователем угроз в компании Expel. Атака начинается с поддельной страницы проверки Fortinet VPN Compliance Checker.
Атака использует тактику FileFix, обманом заставляя пользователя вставить и выполнить команду в адресной строке Проводника Windows. Эта команда незаметно запускает PowerShell-скрипт через
conhost.exe. Принципиальное отличие этого метода в том, что скрипт не загружает файлы и не связывается с командным сервером. Вместо этого он выполняет обфусцированную полезную нагрузку, которая была заранее загружена в кэш браузера под видом обычного JPEG-изображения (image/jpeg) в момент первого посещения фишинговой страницы. Данный метод вызывает серьезную обеспокоенность, поскольку он обходит средства защиты, которые отслеживают прямые загрузки файлов, скрывая вредоносный код внутри безобидного кэшированного файла изображения.
Для защиты от подобных многоступенчатых атак владельцам сайтов на WordPress необходимо своевременно обновлять плагины, темы и ядро системы. Важно использовать надежные и уникальные пароли для всех учетных записей. Также рекомендуется регулярно сканировать сайты на наличие аномалий и проверять список пользователей на предмет появления несанкционированных учетных записей администраторов, которые могут использоваться для сохранения доступа к сайту.
