Злоумышленники взломали более 10 тыс. сайтов на WordPress для распространения вредоносной рекламы

[душман]

Исследователи безопасности из компании Check Point, обнаружили новую кампанию по распространению вредоносной рекламы, в ходе которой заражается порядка 40 тыс. устройств каждую неделю.

Как полагают специалисты, операторы данной кампании объединились с рекламной сетью и реселлерами для перенаправления жертв на мошеннические сайты, распространяющие вымогательское ПО, банковские трояны и другие вредоносы. Данная схема получила название Master134 по аналогии с адресом главного С&C-сервера кампании.

Согласно докладу, изначально мошенники взламывают сайты WordPress. Исследователи обнаружили более 10 тыс. сайтов, скомпрометированных в ходе данной кампании. На всех взломанных сайтах работает система управления контентом WordPress версии 4.7.1, в которой существует критическая уязвимость, позволяющая злоумышленникам удаленно выполнить код.

Взломав сайт, атакующие размещают на нем рекламные объявления, перенаправляющие пользователей на портал Master134.

Роль сервиса Master134 заключалась в том, чтобы продвигать рекламные места в рекламной сети AdsTerra под учетной записью издателя. Данные рекламные места затем скупались злоумышленниками для перенаправления жертв на вредоносные ресурсы.

По словам исследователей, почти все рекламные места покупались через реселлера AdsTerra. В числе покупателей значатся операторы наборов эксплоитов (RIG, Magnitude, GrandSoft, FakeFlash), систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) и мошеннических сайтов, маскирующихся под техподдержку.

«Похоже, что сотрудничество между различными группами злоумышленников успешно поддерживается через сторонние рекламные сети, самой крупной из которых является AdsTerra», - отметили специалисты.

«Основываясь на наших выводах, мы предполагаем, что злоумышленники платят Master134 напрямую. Master134 затем платит рекламной сети, чтобы перенаправить трафик и, возможно, даже скрыть его происхождение», - добавили они.