Вредоносное ПО для WordPress похищает файлы cookie

Эксперты из фирмы Sucuri нашли новую вариацию вредоносного программного обеспечения, которое перехватывает cookie в доверенном файле JavaScript, который маскируется под официальный сайт WordPress. Для того, чтобы создать подобный домен, киберпреступники взяли на вооружение технику тайпсквоттинг, а именно зарегистрировали практически похожий на официальный домен. Данная технология часто используется злоумышленниками для того, чтобы направить пользователей на собственные вебсайты, если те ошибутся при наборе ссылки в URL строке. Предоставленный сайт выглядел точь-в-точь как официальный сайт WordPress и никаким образом не вызывал подозрений.

Как сообщил представитель компании Sucuri по имени Сезар Анхос, киберпреступники вставили код в JS файле, который нужен для редиректа критических данных типа cookie на подставное доменное имя. Скорее всего для того, чтобы внедрить JavaScript код, киберпреступники использовали один из багов в блоге WordPress.

Как сказал аналитик из Sucuri по имени Денис Синегубенко, киберпреступники часто ищут различные массовые уязвимости в плагинах и дополнениях к движкам, после чего используют их для массового взлома потенциальных жертв. В процессе анализа исходников Сезар Анхос нашел кусок кода, который исключает cookie из UserAgent поля поисковых роботов. Это дает возможность хакерам фильтровать мусорную информацию, а отправлять лишь только потенциально ценную.

Украв пользовательские cookie киберпреступник имеет возможность входа под его именем и управления как будто это сам пользователь вошел в систему, как минимум до тех пор пока система не отзовет выданные пользовательские разрешения. На текущий момент эксперты не могут предположить, кто является инициатором данной атаки.

Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.

Материалы партнеров:

Читайте другие новости: