Специалисты компании Wiz обнаружили вредоносную кампанию, активную с сентября 2022 года. Не менее 10 000 сайтов, предназначенных для восточноазиатской аудитории, были взломаны и теперь перенаправляют посетителей на ресурсы для взрослых.
Взломанные сайты принадлежат как небольшим фирмам, так и международным корпорациям, все они используют разные технологические стеки и хостинг, что затрудняет обнаружени общего вектора атаки. Одним из немногих «общих знаменателей» является то, что большинство скомпрометированных ресурсов хостятся в Китае, либо в другой стране, но ориентированы на китайских пользователей.
Злоумышленники внедряют на взломанные сайты вредоносный JavaScript, зачастую подключаясь к целевому веб-серверу с использованием настоящих учетных данных для FTP. Причем как именно их получают злоумышленники, экспертам выяснить не удалось.
«Во многих случаях это были надежные автоматически сгенерированные учетные данные для FTP, но злоумышленники каким-то образом смогли заполучить их и использовать для захвата сайта», — рассказывают исследователи.
Также в отчете отмечается, что URL-адреса, где размещается вредоносный JavaScript, ограничены конкретными геозонами, чтобы код выполнялся только в ряде стран Восточной Азии.
Кроме того, специалисты обнаружили признаки того, что эта кампания также нацелена и на Android. В таких случаях скрипт перенаправления уводит посетителей на игорные сайты, которые призывают установить специальное приложение (APK com.tyc9n1999co.coandroid).
Какая именно группировка стоит за этими атаками, и какие цели она преследует, пока неясно до конца. Примечательным аспектом этих атак является отсутствие фишинга, веб-скимминга или малвари. Одна из теорий гласит, что целью хакеров является рекламное мошенничество и SEO-манипуляции. Также возможно, что дело в привлечении неорганического трафика на конкретные сайты.
«Мы по-прежнему не уверены в том, как злоумышленники получили доступ к такому количеству сайтов, и нам еще предстоит выявить общие черты между пострадавшими ресурсами, помимо использования FTP. Хотя маловероятно, что атакующие используют некую 0-day уязвимость (учитывая явно низкую изощренность атак), такой вариант тоже нельзя исключить полностью», — заключают эксперты.