Эксперты китайской компании Qihoo 360 обнаружили интересную мошенническую схему: взломанные сайты на WordPress заражают вредоносом Linux.Ngioweb, а затем эти ресурсы для своей деятельности использует коммерческий прокси-сервис Free-Socks[.]in. По сути, пользователи, полагающиеся на прокси Free-Socks, направляют свой трафик через сеть взломанных сайтов, разбросанных по всему миру.
Исследователи пишут, что скомпрометированные сайты заражают веб-шеллом (работающим как бэкдор) и малварью Linux.Ngioweb, являющейся прокси-агентом.
Linux.Ngioweb имеет два отдельных управляющих сервера. Первый (Stage-1) используется для управления всеми зараженными сайтами (ботами). Второй набор серверов (Stage-2) представляет собой backconnect прокси-серверы между сервисом Free-Socks и зараженными сайтами. Именно Stage-2 перенаправляет трафик клиентов на взломанные сайты WordPress.
Отмечается, что Linux.Ngioweb фактически представляет собой портированную под Linux малварь Win32.Ngioweb, обнаруженную в августе 2018 года экспертами компании Check Point. Windows-версия вредоноса тоже представляла собой прокси-бота, работавшего схожим образом. Основным отличием Linux-вариации является использование DGA (Domain Generation Algorithm), с помощью которого каждый день генерируются новые домены для серверов Stage-1.
Взломав используемый злоумышленниками DGA, специалисты смогли оценить масштаб происходящего. За время наблюдений аналитикам удалось обнаружить 2692 скомпрометированных WordPress-сайта, более половины из которых оказались расположены в США.
В настоящее время все взломанные сайты очищены от малвари и вернулись к нормальной работе. Список IP-адресов и другие индикаторы компрометации можно найти в отчете специалистов.
