Хакери, які зламують WordPress-сайти, використовують легальні рекламні платформи для своїх атак

Дослідники з Infoblox розкрили схему, в якій хакери зламують сайти на WordPress і перенаправляють відвідувачів на фейкові сторінки через рекламні компанії, пише TechRadar.

У центрі цієї інфраструктури — VexTrio, система, яка вирішує, куди саме відправити користувача: на фішинг, вірус або обман з фейковим виграшем.

Хакери використовують слабкі місця в сайтах WordPress, щоби вставити скрипти редиректу, які звертаються до спеціальних DNS TXT-записів. Це дозволяє їм у реальному часі змінювати маршрути, залежно від країни, пристрою чи часу доби.

Дослідники кажуть, що до схеми причетні комерційні рекламні компанії: Los Pollos, RichAds і Partners House. Вони працюють як легальні рекламні мережі, але на практиці співпрацюють із хакерами, отримуючи від них трафік і переправляючи його рекламодавцям — навіть якщо контент небезпечний.

Раніше Los Pollos уже фігурувала у кампаніях російської дезінформації.

Один з головних інструментів у схемі — фейкові CAPTCHA-запити. Користувачам показують вікна з проханням «підтвердити, що ви не робот», а потім просять дозволити сповіщення браузера.

Після цього зловмисники починають надсилати фішингові або вірусні повідомлення — навіть через легальні сервіси на кшталт Google Firebase.

• Нагадаємо, нещодавно Національна поліція затримала в Україні хакера, якого розшукувало Федеральне бюро розслідувань США. Він належав до хакерського угрупування, яке атакувало промислові підприємства різних країн та вимагало гроші.