Эксперты обнаружили, что множество сайтов на WordPress, использующих хостинг GoDaddy Managed WordPress, были заражены одинаковым бэкдором. Проблема затронула крупных реселлеров, включая MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, а также Host Europe Managed WordPress.
Проблему еще 11 марта заметили аналитики Wordfence, которые сообщают, что за сутки бэкдором было заражено 298 сайтов, 281 из которых были размещены у GoDaddy.
Сам бэкдор представляет собой старый инструмент для отравления SEO (SEO poisoning) в Google, датированный 2015 годом. Он имплантируется в wp-config.php, извлекает шаблоны спам-ссылок с управляющего сервера, а затем использует их для внедрения вредоносных страниц в результаты поиска.
Преимущественно такие шаблоны связаны с фармацевтическим спамом, и они показываются посетителям взломанных сайтов вместо фактического контента. Похоже, таким образом злоумышленники хотят вынудить жертв покупать поддельные продукты, теряя при этом деньги и сливая свои платежные реквизиты хакерам.
Вектор этой массовой атаки пока не определен, однако происходящее очень похоже на атаку на цепочку поставок. Стоит вспомнить, что в декабре 2021 года GoDaddy пострадал о утечки данных, которая затрагивала 1,2 млн клиентов компании, использующих WordPress. В их числе были и реселлеры Managed WordPress хостинга, упомянутые выше. Можно предположить, что эти инциденты связаны, и теперь мы наблюдаем последствия прошлогодней утечки.