Хакеры добавляют мошеннические online-магазины поверх WordPress-сайтов

[Artifact]

Злоумышленники «отравляют» XML-карты сайтов, тем самым понижая их рейтинг SERP.

Новая киберпреступная группировка атакует WordPress-сайты и устанавливает на них скрытые e-коммерческие магазины, пользуясь рейтингом сайтов в поисковой выдаче и репутацией в мошеннических целях.
Атаки были обнаружены ранее в этом месяце, когда вредоносное ПО попало в ханипот специалиста ИБ-компании Akamai Ларри Кэшдоллара (Larry Cashdollar). По его словам , злоумышленники получают доступ к учетным записям администраторов сайтов с помощью брутфорс-атаки, после чего переписывают их главные индексные файлы и добавляют вредоносный код.
Хотя вредоносный код сильно обфусцирован, Кэшдоллару далось выяснить, что его главное предназначение – играть роль прокси для переадресации всего входящего трафика на подконтрольный киберпреступникам C&C-сервер.
Типичная атака выглядит следующим образом: когда пользователь хочет посетить взломанный сайт, его запрос переадресовывается на C&C-сервер. Если пользователь удовлетворяет определенным критериям, C&C-сервер дает сайту команду ответить на запрос, отправив HTML-файл с online-магазином, предлагающий бытовые товары. То есть, вместо запрашиваемого пользователем легитимного сайта открывается мошеннический online-магазин. По словам исследователя, на момент попадания вредоноса в его ханипот злоумышленники установили на взломанных ресурсах более 7 тыс. e-коммерческих магазинов.
Помимо прочего, хакеры также генерируют XML-карты взломанных сайтов, содержащих входы в фейковые магазины наряду с оригинальными страницами. Атакующие генерируют карту сайта, вносят ее в поисковую систему Google, а затем удаляют во избежание обнаружения.
Хотя эта процедура выглядит довольно безобидно, на самом деле она оказывает на WordPress-сайты довольно большое влияние, поскольку «отравляет» их ключевые слова несвязанными и мошенническими записями, снижающими рейтинг страницы результатов поисковой системы (SERP).
По мнению Кэшдоллара, этот вид вредоносного ПО может быть использован в связанных с поисковой оптимизацией вымогательских схемах, когда киберпреступники намеренно изменяют рейтинг сайта в поисковой выдаче, а затем просят выкуп, чтобы устранить последствия.