Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только удаляет с зараженных ресурсов конкурирующую малварь, но и устанавливает на сайты жертв обновления.

В своем отчете исследователи рассказывают, что вредонос «Баба Яга», по всей видимости созданный русскоговорящими преступниками, появился не недавно, просто ранее он ничем не выделялся и не представлял большой опасности, однако все изменилось после последних обновлений.

В настоящее время BabaYaga использует зараженные WordPress-сайты для внедрения на их страницы SEO-трафика и перенаправления посетителей на различные торговые площадки, которые платят за это операторам малвари. Так, если переадресованный пользователь совершает на таком сайте покупку, злоумышленники получают прибыль.

Малварь включает в себя два основных модуля. Первый используется для инжектов спамерского контента на страницы зараженных сайтов. Второй модуль представляет собой бэкдор, при помощи которого злоумышленники могут получить полный контроль и доступ к скомпрометированному ресурсу в любое время. Исследователи отмечают, что вредонос написан весьма умело и его разработчики определенно не новички. С технической точки зрения BabaYaga может использоваться и для атак на сайты под управлением Joomla, Drupal и даже на PHP-ресурсы, однако пока полностью концентрируется на WordPress.

От другой малвари такого рода «Бабу Ягу» отличают две особенности. Во-первых, вредонос может удалять с зараженных сайтов конкурирующие угрозы. Во-вторых, он способен устанавливать обновления и даже осуществить полную переустановку WordPress на сайте жертвы. Специалисты Defiant объясняют, что эти функции тесно связаны с функциональностью внедрения спама. Авторам BabaYaga важно, чтобы сайт работал без багов, сбоев и был обновлен до последних версий:

«Так как основная функциональность BabaYaga выполняется наряду с загрузкой страниц WordPress, [малвари] нужно, чтобы приложение работало корректно. Если в WordPress что-то сломается, вредоносный скрипт не сможет выполниться, когда страницу кто-либо посетит».

При этом специалисты подчеркивают, что механизм обновлений – не просто бесполезная функция, добавленная в код случайно. BabaYaga сполна пользуется своими возможностями, операторы вредоноса внимательно следят за своими кампаниями, а малварь даже тщательно создает резервные копии, на случай если обновление не удастся (если все прошло как нужно, бэкапы удаляются).

По тем же причинам BabaYaga избавляется от конкурентов. Для работы вредоносу нужен чистый, корректно работающий сайт, тогда как малварь конкурентов может быть написана плохо, что будет провоцировать сбои и мешать функционированию BabaYaga. К тому же многочисленные сбои и ошибки могут привлечь нежелательное для злоумышленников внимание администратора сайта, который в конечном итоге обнаружит на своем ресурсе заражение.

5 комментариев

  1. Scool

    08.06.2018 at 14:55

    Ну чтож, подождём старушку. До меня пока не добралась добрая бабулька.

  2. Matveykin

    08.06.2018 at 18:17

    До меня пока тоже не добралась. А как ее предугадать? Или каковы следы в WP? Я отслеживаю изменения в файлах, например.

    • Мария Нефёдова

      Мария Нефёдова

      08.06.2018 at 20:45

      Рисерчеры советуют посмотреть, были ли контакты с 7od.info (178.132.0.105) и
      my.wpssi.com (89.38.98.31). Если да, то ресурс, скорее всего, скомпрометирован.

  3. Asylum

    09.06.2018 at 20:18

    Не люблю WP, сколько можно переписывать код времен динозавров? Нужна революция, а не эволюция

  4. Asylum

    09.06.2018 at 20:39

    Поясню, в WP код «вшивается» прямо в шаблон, обновили WP, а шаблон не поддерживается новой версией ))), такое сплошь и рядом. Поставили шаблон недвижимости, где фильтр, часть темы, обновили движок, и чего? Разработчик тему перестал поддерживать.

    Опять же виджеты для каждого шаблона свои, а если их сотня? В вордпресс нет даже функции массового переноса модулей, пардон, пардон виджетов при смене стиля.

    Мадженто, PHPBB, Joomla … можно устать пальцы загибать, выпускают новые ветки и инструменты миграции.

    С вордпресс приходится работать часто, пожалуй более упоротый только Битрикс, где служба поддержки, на любой вопрос может ответить — меняйте хостинг. А, да, еще, — попробуйте уменьшить количество вариантов выбора в фильтре.

    Да долбанутся, лапти гнутся. Есть на сайте сто производителей, оставить два? И на [cencored] такой движок?

Оставить мнение