Компания eZanga сообщает о появлении вредоносной программы под названием MosQUito. Злоумышленники взламывают сайты, на которые установлены WordPress или Joomla, и добавляют туда его код, после чего MosQUito начинает отправлять посетителей на другие адреса.
Принцип действия вредоносной программы прост. Она заменяет все упоминания минифицированной версии библиотеки jQuery.min.js на путь к являющемуся частью MosQUito файлу jQuery.min.php.
jQuery.min.php следит за входящим трафиком, случайно выбирает некоторых посетителей и редиректит их на сомнительные сайты, которые находятся под контролем злоумышленников. Как правило, эти сайты покрыты рекламой, которая приносит им доход.
Подмена jQuery — не новый трюк. В прошлом его часто использовали нечистоплотные оптимизаторы, чтобы внедрять в страницы взломанных сайтов скрытые ссылки и накручивать поисковый рейтинг собственных доменов.
Специалисты предупреждает, что незамеченный MosQUito не просто уменьшает посещаемость заражённого сайта и вредит его репутации. Поисковики и рекламные системы могут счесть подозрительный редирект жульничеством и наложить на сайт санкции.
eZanga опубликовала список 9285 сайтов, на которых замечен MosQUito. Более сорока из них находятся в зоне ru.
