Эксперты китайской компании Qihoo 360 обнаружили интересную мошенническую схему: взломанные сайты на WordPress заражают вредоносом Linux.Ngioweb, а затем эти ресурсы для своей деятельности использует коммерческий прокси-сервис Free-Socks[.]in. По сути, пользователи, полагающиеся на прокси Free-Socks, направляют свой трафик через сеть взломанных сайтов, разбросанных по всему миру.

Исследователи пишут, что скомпрометированные сайты заражают веб-шеллом (работающим как бэкдор) и малварью Linux.Ngioweb, являющейся прокси-агентом.

Linux.Ngioweb имеет два отдельных управляющих сервера. Первый (Stage-1) используется для управления всеми зараженными сайтами (ботами). Второй набор серверов (Stage-2) представляет собой backconnect прокси-серверы между сервисом Free-Socks и зараженными сайтами. Именно Stage-2 перенаправляет трафик клиентов на взломанные сайты WordPress.

Отмечается, что Linux.Ngioweb фактически представляет собой портированную под Linux малварь Win32.Ngioweb, обнаруженную в августе 2018 года экспертами компании Check Point. Windows-версия вредоноса тоже представляла собой прокси-бота, работавшего схожим образом. Основным отличием Linux-вариации является использование DGA (Domain Generation Algorithm), с помощью которого каждый день генерируются новые домены для серверов Stage-1.

Взломав используемый злоумышленниками DGA, специалисты смогли оценить масштаб происходящего.  За время наблюдений аналитикам удалось обнаружить 2692 скомпрометированных WordPress-сайта, более половины из которых оказались расположены в США.

В настоящее время все взломанные сайты очищены от малвари и вернулись к нормальной работе. Список IP-адресов и другие индикаторы компрометации можно найти в отчете специалистов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии