Специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar) обнаружил хакерскую группу, которая весьма интересно использует взломанные сайты на базе WordPress. Во-первых, хакеры запускают поверх этих ресурсов мошеннические интернет-магазины. Во-вторых, отравляют XML-карты для влияния на поисковую выдачу.
Злоумышленники применяют брутфорс-атаки для получения доступа к учетной записи администратора сайта, после чего перезаписывают основной индексный файл WordPress-сайта и добавляют к нему вредоносный код.
Хотя этот код был сильно обфусцирован, Кэшдоллар пишет, что основная роль данной малвари заключалась в том, чтобы действовать как прокси и перенаправлять весь входящий трафик взломанных сайтов на удаленный сервер преступников. Именно на этом сервере и происходило самое интересное. Типичная атака выглядела следующим образом:
- пользователь посещает взломанный WordPress-сайт;
- взломанный сайт перенаправляет запрос пользователя на управляющий сервер малвари;
- если пользователь соответствует определенным критериям, сервер хакеров сообщает сайту, чтобы тот ответил посетителю HTML-файлом с мошенническим интернет-магазином, торгующим широким спектром товаров;
- взломанный сайт отвечает на запрос пользователя, демонстрируя мошеннический магазин вместо исходного сайта, который пользователь собирался просмотреть.
По данным эксперта, к тому времени, когда хакеры добрались до его сервера-приманки, они уже успели запустить более 7000 таких фейковых магазинов.
Кроме того, хакеры генерировали XML-карты для взломанных ресурсов, которые содержали записи о мошеннических интернет-магазинах наряду с аутентичными страницами сайта. Злоумышленники создавали такие карты, «скармливали» их поисковой системе Google, а затем удаляли карты с сайтов, чтобы избежать обнаружения.
Хотя эта процедура выглядит безобидной, на самом деле она оказывала большое влияние на пострадавшие сайты. Дело в том, что в конечном итоге такие XML-карты значительно снижали рейтинги ресурсов в результатах поиска. По мнению Кэшдоллара, такая малварь может использоваться для вымогательства, связанного с SEO. К примеру, преступники намеренно снижают рейтинг сайта в поисковой выдаче, а затем просят у его влалельцев выкуп, чтобы устранить последствия атаки и «вернуть все как было».