Хакеры взломали тысячи сайтов на WordPress, засорив результаты поиска
изображений в Google кодом, перенаправляющим пользователей на сервера, которые
пытаются заразить их вредоносными кодами.
Согласно
сообщению, размещенному в пятницу, русский исследователь Денис Синегубко
обнаружил 4358 WordPress-блогов, которые используют популярные изображения с
других сайтов и дорвеями перенаправляют пользователей на ряд вредоносных сайтов.
Эти сайты отображают поддельные предупреждения, заставляющие пользователей
установить поддельное защитное программное обеспечение, убеждая, что их машины
уже инфицированы вредоносными программами и срочно нуждаются в очистке.
"PR дорвеев достаточно хорошо подходит для некоторых ключевых слов, как в
веб-поиске Google, так и в поиске картинок", - пишет Синегубко. "Тем не менее
вредоносные перенаправления происходят только тогда, когда вы нажимаете на
результаты поиска Google Images. Это доказывает, что заражение Google Images -
основная цель данной кампании черной оптимизации".
По состоянию на пятницу Google отметил менее 5% взломанных сайтов как вредные
для пользователей, говорит Синегубко.
Остается загадкой, как сайты были взломаны. Многие из них работали на новых
версиях WordPress. Более того, взлом произошел на различных хостингах и не все
сайты WordPress, размещенные на определенных хостах, содержат вредоносные
ссылки. Все это, казалось бы, исключает серверные атаки, взлом на основе
украденных учетных данных или использования эксплоита для WordPress.
Синегубко предположил, что взлом производится с помощью бэкдора, ранее
установленного на зараженных веб-сайтах. Одним из возможных путей проникновения
бэкдора, возможно, является недавно обнаруженная
уязвимость в темах WordPress,
которая позволяла злоумышленникам загружать и выполнять вредоносный код на
веб-сайтах, которые его использовали.