Xakep #305. Многошаговые SQL-инъекции
Сайты ряда университетов, включая Стэнфорд, Беркли и Массачусетский технологический институт, распространяют фишинговый спам, связанный с игрой Fortnite, а также предлагают фейковые «подарочные карты». Судя по всему, массовым атакам подвергаются ресурсы, работающие на TWiki и CMS MediaWiki.
Первым массовую компрометацию университетских ресурсов заметил ИБ-исследователь, известный под ником g0njxa. Он сообщил, что десятки поддоменов известных учебных заведений в США начали распространять спам, связанный с Fortnite.
Издание Bleeping Computer объясняет, что пострадавшие ресурсы работают под управлением TWiki или MediaWiki, и последняя представляет собой CMS, которая поддерживает Wikipedia и ряд сайтов Wikimedia.
Взломанные Wiki-ресурсы заманивают читателей на фишинговые сайты, где им предлагают бесплатные подарочные карты в обмен на участие в фиктивных опросах, внутриигровую валюту Fortnite, а также различные читы. На самом деле такие страницы представляют собой фишинговые формы, которые запрашивают и воруют у пользователей учетные данные.
Журналисты говорят, что хотя вредоносная кампания в первую очередь нацелена на университетские сайты, созданные с помощью MediaWiki, похоже, что от рук тех же хакеров пострадали и правительственные сайты. В их числе мини-сайты правительства Бразилии и европейский Europa.eu. В случае с Europa.eu спамеры злоупотребляют сервисом Europass e-Portfolio, порталом поиска работы, который позволяет резидентам ЕС создавать резюме и сопроводительные письма в формате PDF.
Пока неясно, какой эксплоит злоумышленники используют для загрузки спам-страниц и PDF-документов на Wiki-сайты. В прошлом месяце MediaWiki выпустила патчи, устранившие множество уязвимостей, однако ни одно из этих исправлений явно не имеет отношения к продолжающейся вредоносной кампании.
Исследователи настоятельно рекомендуют администраторы MediaWiki и TWiki проверить свои сайты на наличие спама и вредоносного контента. Искать лучше по ключевым словам «gift card», «Fortnite» и так далее.