Монстр из Cookie: Как киберпреступники прячут

Home Монстр из Cookie: Как киберпреступники прячут
screenshot 2025 10 25 091640

Монстр из Cookie: Как киберпреступники прячут вредоносный код в PHP-переменных и куки-файлах

Новая изощрённая кампания по распространению вредоносного ПО атакует WordPress-сайты с помощью гениальной техники обфускации, которую сложно обнаружить — и она уже поразила более 30 000 сайтов за один месяц.

Введение: Идеальный шторм в экосистеме WordPress

WordPress обеспечивает работу более 43% всех веб-сайтов в интернете, что делает его непреодолимо привлекательной целью для киберпреступников. Но вот отрезвляющая реальность: WordPress-сайты сталкиваются с более чем 90 978 атаками в минуту, и за последний год более 500 000 веб-сайтов были скомпрометированы из-за проблем с безопасностью.

Хотя мы привыкли наблюдать эволюцию вредоносного ПО, последняя кампания, обнаруженная исследователями Wordfence, представляет собой действительно умный скачок вперёд в технологиях сокрытия вредоносного кода — технологию, которая заставила специалистов по безопасности обратить на себя внимание.

Это не просто очередной вариант вредоноса. Это мастер-класс по обману, который фрагментирует вредоносный код на несколько HTTP-куки, динамически собирает его во время выполнения и требует точно структурированных запросов для активации. Вредонос был обнаружен более 30 000 раз только в сентябре 2025 года, что демонстрирует как его широкое распространение, так и тревожную эффективность против традиционных мер безопасности.

Анатомия атаки: прятки с куки-файлами

Традиционное вредоносное ПО обычно встраивает полные вредоносные нагрузки в файлы, что делает их относительно простыми для обнаружения с помощью сканирования на основе сигнатур. Но эта новая кампания использует принципиально иной подход, который эксплуатирует функцию PHP, которую большинство разработчиков используют каждый день: переменные функции (variable functions).

Вот как это работает:

Этап 1: Проверка куки-файлов

Вредонос начинает с проверки того, что в HTTP-запросе присутствует ровно 11 куки-файлов, один из которых содержит конкретную строку “array11”. Думайте об этом как о секретном рукопожатии — без всех правильных куки на месте вредонос остаётся неактивным, выглядя как безобидный обфусцированный код, который не вызывает тревоги.

Этап 2: Динамическая реконструкция функций

Здесь начинается самое интересное. Скрипт конкатенирует значения куки для реконструкции имён функций, например, объединяя куки, содержащие “base64_” и “decode”, чтобы сформировать полное имя функции base64_decode.

Цепочка выполнения выглядит примерно так:

$locale[79] = $locale[79] . $locale[94];  // Объединяет фрагменты из куки
$locale[23] = $locale[79]($locale[23]);    // Выполняет восстановленную функцию

Возможность PHP использовать переменные функции означает, что добавление скобок к любой переменной заставляет PHP выполнить функцию, соответствующую строковому значению этой переменной. Это легитимная функция языка, превращённая в оружие.

Этап 3: Выполнение кода

Далее вредонос использует create_function с параметрами, контролируемыми атакующим, для генерации произвольного исполняемого кода. Более поздние варианты эволюционировали ещё дальше, используя методы замены строк, которые преобразуют обфусцированные строки типа “basx649fxcofx” в “base64_decode” путём замены конкретных символов ‘x’, ‘f’ и ‘9’ на ‘e’, ‘d’ и ‘_’ соответственно.

Этот многослойный подход обходит обнаружение на основе паттернов, сохраняя при этом полные возможности удалённого выполнения кода через сериализованные полезные нагрузки, доставляемые через параметры куки.

Почему это важно: более широкий кризис безопасности

Чтобы понять значимость этой атаки, нужно посмотреть на общую картину безопасности WordPress в 2025 году.

Взрыв уязвимостей

В 2024 году было обнаружено 7 966 новых уязвимостей, что представляет собой рост на 34% по сравнению с 2023 годом, причём 96% были найдены в плагинах. Ещё более тревожно то, что более 43% этих новых уязвимостей не требовали аутентификации для эксплуатации — это означает, что атакующим даже не нужно сначала взламывать пароли.

Ад плагинов

Уязвимости ядра WordPress, плагинов и тем составляют почти половину всех заражений вредоносным ПО, а остальная часть связана с плохой гигиеной безопасности, такой как слабые пароли и отсутствие двухфакторной аутентификации. Экосистема плагинов, хотя и мощная, стала ахиллесовой пятой WordPress.

Растущая изощрённость атак

69% заражений WordPress теперь включают инъекции вредоносного ПО и вредоносные перенаправления, в то время как более 70% атак вредоносного ПО нацелены на конкретные веб-сайты, а не на случайные цели. Атакующие становятся умнее, более целенаправленными и всё более терпеливыми — готовы скрывать неактивные бэкдоры, которые ждут идеального момента для активации.

Мой взгляд: почему эта атака так опасна

Проанализировав бесчисленные кампании по распространению вредоносного ПО за годы, я могу сказать, что эта техника обфускации на основе куки выделяется по нескольким причинам:

1. Она эксплуатирует доверие

Куки — фундаментальная часть работы современного веба. Каждый сайт использует их. Инструменты безопасности обычно не изучают содержимое куки с той же интенсивностью, с которой они применяются к загрузке файлов или POST-данным. Эта атака эксплуатирует это врождённое доверие, прячась на виду среди легитимных сессионных куки, данных корзины покупок и пикселей отслеживания.

2. Статический анализ почти бесполезен

Традиционные сканеры вредоносного ПО ищут известные вредоносные паттерны в коде. Но когда вредоносный код не существует в полной форме до времени выполнения и собирается только при наличии конкретных куки, статический анализ натыкается на кирпичную стену. Анализ показал, что отдельные варианты разделяют основные характеристики, включая плотную обфускацию, избыточные поиски в массивах и преднамеренные проверки куки, которые действуют как механизмы аутентификации для атакующих.

Это как пытаться идентифицировать бомбу, изучая её отдельные компоненты по отдельности — батарея, проводка и взрывчатое вещество выглядят безобидно, пока не будут собраны вместе.

3. Она предотвращает безопасность через неясность

Даже другие злоумышленники, обнаружившие бэкдор, не могут его использовать, не зная точной структуры куки. Это условное выполнение служит двум целям: обход автоматизированных сканеров безопасности, которые могут запустить скрипт без правильных куки, и предотвращение несанкционированного доступа другими злоумышленниками, обнаружившими бэкдор. Это вредоносное ПО с собственной системой контроля доступа.

4. Она масштабируема

Исследователи Wordfence добавили эти образцы в свою базу данных угроз, содержащую более 4,4 миллиона уникальных вредоносных сигнатур — и это только варианты, которые они идентифицировали. Техника легко модифицируется, что означает, что атакующие могут генерировать практически неограниченное количество вариаций, каждая из которых выглядит по-разному для обнаружения на основе сигнатур.

5. Фактор ИИ

Вот что не даёт мне спать по ночам: агенты ИИ способны эксплуатировать уязвимости и генерировать эксплойты, значительно сокращая время, необходимое для превращения уязвимости в оружие. Мы вступаем в эпоху, когда ИИ может создавать полиморфное вредоносное ПО, которое остаётся необнаруженным большинством сканеров на основе паттернов. Эта техника на основе куки идеальна для атак с помощью ИИ — её легко программно модифицировать и тестировать против различных инструментов безопасности.

Общая картина: WordPress в осаде

Эта атака не существует изолированно. Она часть более крупной и тревожной тенденции:

  • Balada Injector составляет 21% инъекций вредоносного ПО, в то время как вредонос Sign1 поразил 57 000 сайтов
  • DDoS-атаки выросли на 31%, с 44 000 ежедневными атаками, перегружающими серверы веб-сайтов
  • 52% сайтов испытали значительные нарушения бизнеса из-за программ-вымогателей, и 83% атакованных сайтов заплатили выкуп
  • Более 50% жертв программ-вымогателей заплатили более 100 000 долларов в качестве выкупа

Возможно, самое тревожное: только 38% WordPress-сайтов работают на последней версии программного обеспечения, и 81% уязвимостей WordPress возникают из-за слабых или украденных паролей.

Статистика, которая заставляет задуматься

Давайте посмотрим на цифры, которые показывают масштаб проблемы:

Глобальная угроза:

  • 300 000 новых вредоносных программ создаётся каждый день
  • 30 000 новых веб-сайтов взламываются ежедневно
  • Google Safe Browsing добавляет в чёрный список до 70 000 веб-сайтов каждый день из-за заражения вредоносным ПО или фишинговых схем

WordPress под прицелом:

  • WordPress-сайты подвергаются более 90 978 атакам каждую минуту
  • 61% всех заражённых WordPress-сайтов используют устаревшую версию
  • 41% WordPress-сайтов были взломаны через уязвимость в безопасности их хостинг-платформы
  • 29% были взломаны через уязвимость в теме WordPress
  • 52% атак происходят из-за плагинов

Масштаб защиты:

  • Wordfence заблокировал 4,3 миллиарда попыток эксплуатировать уязвимости с более чем 9,7 миллионов уникальных IP-адресов в 2020 году
  • 99,6% всех попыток эксплуатации были остановлены Wordfence до того, как они могли быть успешными
  • Более 2 миллионов WordPress-сайтов используют решения брандмауэра Cloudflare для усиленной безопасности
  • Плагины безопасности, такие как Wordfence, Sucuri и iThemes Security, в совокупности насчитывают более 15 миллионов загрузок

Новые угрозы 2025 года:

  • Более 4 000 WordPress-сайтов были заражены поддельными SEO-плагинами
  • Более 1 000 сайтов были заражены JavaScript-бэкдорами, создающими четыре отдельные точки повторного входа
  • 35 000+ сайтов скомпрометированы вредоносным JavaScript, перенаправляющим пользователей на китайские игорные платформы
  • DNS TXT records malware найден на 23 820 сайтах
  • Поддельные сокращатели URL заразили 16 000 сайтов

Что можно сделать?

Хорошие новости? Хотя эта атака изощрённа, её можно остановить. Вот что необходимо сделать:

Для владельцев веб-сайтов

1. Многослойная безопасность

Одного инструмента недостаточно. Вам нужны:

  • Web Application Firewall (WAF) для блокировки атак до того, как они достигнут вашего сайта
  • Сканер вредоносного ПО для регулярных проверок файлов
  • Система мониторинга для отслеживания подозрительного поведения
  • Поведенческий анализ для обнаружения аномалий

2. Обновляйте всё немедленно

61% заражённых WordPress-сайтов используют устаревшую версию. Да, обновления могут что-то сломать. Но знаете, что действительно всё ломает? Взлом.

Включите автоматические обновления для:

  • Ядра WordPress
  • Всех плагинов
  • Всех тем
  • PHP-версии на сервере

3. Серьёзная аутентификация

75% атак на идентичность опираются на фишинг и социальную инженерию, а не на вредоносное ПО. Внедрите:

  • Двухфакторную аутентификацию (2FA) для всех администраторов
  • Уникальные сложные пароли (используйте менеджер паролей)
  • Ограничение попыток входа
  • CAPTCHA на странице входа
  • Смену стандартного URL-адреса входа (wp-admin)

4. Активный мониторинг

Поведенческий анализ может поймать то, что упускает сканирование на основе сигнатур. Отслеживайте:

  • Необычные исходящие соединения
  • Подозрительные модификации файлов
  • Аномальные паттерны куки-файлов
  • Изменения в базе данных
  • Неожиданные SSH-ключи в ~/.ssh/authorized_keys

5. Регулярные резервные копии

  • Автоматизированные ежедневные резервные копии
  • Хранение резервных копий вне сайта (не на том же сервере)
  • Регулярное тестирование восстановления
  • Минимум 30-дневная история резервных копий

6. Жёсткий контроль плагинов

  • Устанавливайте только необходимые плагины
  • Выбирайте плагины с хорошей репутацией, активной поддержкой и частыми обновлениями
  • Удаляйте неиспользуемые плагины полностью (не просто деактивируйте)
  • Регулярно проверяйте отчёты об уязвимостях

Для экосистемы WordPress

1. Лучшая проверка плагинов

96% уязвимостей обнаруживаются в плагинах, и только 4% в темах. Процесс одобрения плагинов должен быть более строгим, особенно с учётом того, что код, генерируемый ИИ, входит в экосистему. Заметно увеличилось количество плагинов, генерируемых ИИ, с недостатками безопасности, часто в результате небрежности или чрезмерной зависимости от кода, созданного ИИ.

2. Брандмауэры на уровне приложений

Общие WAF-решения, развёрнутые через DNS/CDN, не имеют видимости компонентов приложения, установленных плагинов или статуса аутентификации пользователей. Нам нужны более умные брандмауэры, которые понимают архитектуру WordPress.

После обнаружения уязвимости Bricks несколько IP-адресов запустили скриптовые кампании массовой эксплуатации для получения доступа к уязвимым веб-сайтам. Все популярные WAF-решения, используемые хостинговыми компаниями, не смогли предотвратить атаки Bricks из-за отсутствия threat intelligence и видимости приложений WordPress.

3. Безопасность цепочки поставок

С приближающимся Cyber Resilience Act Европейского Союза, требующим раскрытия серьёзных уязвимостей к сентябрю 2026 года, сообществу WordPress необходимо опережать требования соответствия. Как минимум, всем нужно оставаться в соответствии с новыми правилами, но мы надеемся, что бизнес и разработчики будут серьёзно относиться к безопасности.

4. Образование и осведомлённость

Большинство взломов происходит не из-за сложных атак нулевого дня, а из-за базовой плохой гигиены безопасности. Владельцы сайтов должны понимать:

  • Важность обновлений
  • Опасность слабых паролей
  • Риски неизвестных плагинов
  • Необходимость резервного копирования

Реальные последствия

Давайте будем честны: это не просто теоретические риски. Вот реальное влияние:

Финансовые потери:

  • 52% сайтов испытали значительные бизнес-нарушения из-за программ-вымогателей
  • 83% атакованных сайтов заплатили выкуп
  • Более 50% жертв программ-вымогателей заплатили более 100 000 долларов
  • 4 из 10 атак вредоносного ПО приводят к утечкам данных, компрометирующим конфиденциальную информацию

Репутационный ущерб:

  • Google добавляет в чёрный список до 70 000 веб-сайтов ежедневно
  • Попадание в чёрный список может привести к падению трафика на 95%
  • Восстановление репутации может занять месяцы или годы
  • Потеря доверия клиентов может быть необратимой

Операционное воздействие:

  • Время простоя во время очистки и восстановления
  • Затраты на специалистов по кибербезопасности
  • Юридические обязательства при утечке данных
  • Потенциальные штрафы за несоблюдение GDPR и других регуляций

Заключение: гонка вооружений продолжается

Эта кампания вредоносного ПО на основе куки — напоминание о том, что кибербезопасность — это фундаментально гонка вооружений. Защитники строят лучшие стены; атакующие роют новые туннели. Мы закрываем уязвимости; они находят творческие способы эксплуатировать доверие.

Что делает эту конкретную атаку примечательной, так это не только её техническая изобретательность — это то, что она представляет. Мы вступаем в эпоху, когда вредоносное ПО может прятаться внутри нормальной работы веб-приложений, где ИИ помогает в создании полиморфных вариантов, и где огромный объём атак (90 978 в минуту только против WordPress) делает ручной обзор невозможным.

Более 30 000 обнаружений за один месяц должны стать тревожным звонком. Эта техника работает. Она распространяется. И она станет только более изощрённой.

Для 43% веба, работающего на WordPress, сообщение ясно: безопасность не может быть второстепенной мыслью. Она должна быть встроена в каждое решение — от того, какие плагины вы устанавливаете, до того, как вы настраиваете хостинг, до того, как быстро вы применяете обновления.

Потому что за время, пока вы читали эту статью, WordPress-сайты подверглись примерно 4,5 миллионам атак.

Монстр из куки не приближается. Он уже здесь.

Ключевые выводы

Новая угроза: Вредоносная кампания использует PHP-переменные функции и обфускацию на основе куки для обхода обнаружения

Масштаб: Более 30 000 обнаружений произошло только в сентябре 2025 года

Техника: Фрагментирует вредоносный код на несколько куки, собирая только при выполнении определённых условий

Проблема обнаружения: Традиционный статический анализ и сканирование на основе сигнатур с трудом справляются с этим подходом

Глобальная угроза: WordPress сталкивается с более чем 90 978 атаками в минуту, с 7 966 новыми уязвимостями, обнаруженными в 2024 году

Критическая проблема: Только 38% WordPress-сайтов работают на последней версии программного обеспечения, создавая массивную поверхность атаки

Решение: Многослойная безопасность, активный мониторинг и агрессивное обновление — основные средства защиты

ИИ-фактор: Искусственный интеллект ускоряет создание эксплойтов и полиморфного вредоносного ПО

Финансовое воздействие: 83% атакованных сайтов платят выкуп, часто более 100 000 долларов

Срочность: Каждая минута промедления с обновлениями и безопасностью подвергает ваш сайт риску

Практические шаги на завтра

Сегодня же:

  1. Обновите WordPress, все плагины и темы
  2. Включите двухфакторную аутентификацию
  3. Проверьте наличие подозрительных файлов в директории mu-plugins
  4. Просмотрите установленные плагины и удалите неиспользуемые

На этой неделе:

  1. Установите комплексное решение безопасности (Wordfence, SolidWP, Sucuri)
  2. Настройте автоматические резервные копии
  3. Проведите полное сканирование на вредоносное ПО
  4. Проверьте SSH-ключи в ~/.ssh/authorized_keys

В этом месяце:

  1. Проведите аудит безопасности
  2. Обучите команду основам кибербезопасности
  3. Разработайте план реагирования на инциденты
  4. Протестируйте процесс восстановления из резервной копии

Помните: в мире кибербезопасности вопрос не в том, атакуют ли ваш сайт, а в том, когда. Будьте готовы.

Хотите быть в курсе новых угроз? Подпишитесь на еженедельный анализ безопасности и практические советы по усилению защиты WordPress.