БЛОГ


НЕТИПИЧНЫЙ МЕТОД ЗАРАЖЕНИЯ САЙТОВ НА WORDPREES

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .