My.Net.Ru - Сообщество Wap | Web мастеров
сообщество Wap|Web мастеров

На взломанных WordPress работает прокси-сервис (Оценка: 0)

Печать / RSS-лента
image
Эксперты китайской компании Qihoo 360 обнаружили интересную мошенническую схему: взломанные сайты на WordPress заражают вредоносом Linux.Ngioweb, а затем эти ресурсы для своей деятельности использует коммерческий прокси-сервис Free-Socks[.]in. По сути, пользователи, полагающиеся на прокси Free-Socks, направляют свой трафик через сеть взломанных сайтов, разбросанных по всему миру.

Исследователи пишут, что скомпрометированные сайты заражают веб-шеллом (работающим как бэкдор) и малварью Linux.Ngioweb, являющейся прокси-агентом.

Linux.Ngioweb имеет два отдельных управляющих сервера. Первый (Stage-1) используется для управления всеми зараженными сайтами (ботами). Второй набор серверов (Stage-2) представляет собой backconnect прокси-серверы между сервисом Free-Socks и зараженными сайтами. Именно Stage-2 перенаправляет трафик клиентов на взломанные сайты WordPress.
image
Отмечается, что Linux.Ngioweb фактически представляет собой портированную под Linux малварь Win32.Ngioweb, обнаруженную в августе 2018 года экспертами компании Check Point. Windows-версия вредоноса тоже представляла собой прокси-бота, работавшего схожим образом. Основным отличием Linux-вариации является использование DGA (Domain Generation Algorithm), с помощью которого каждый день генерируются новые домены для серверов Stage-1.

Взломав используемый злоумышленниками DGA, специалисты смогли оценить масштаб происходящего. За время наблюдений аналитикам удалось обнаружить 2692 скомпрометированных WordPress-сайта, более половины из которых оказались расположены в США.
image
В настоящее время все взломанные сайты очищены от малвари и вернулись к нормальной работе. Список IP-адресов и другие индикаторы компрометации можно найти в отчете специалистов.
Автор статьи: )(aOS (27.06.19 / 13:59)
Wordpress, малварь, шелл
Рейтинг: 0
Просмотров: 109
Комментарии (0) »

© My.Net.Ru - Сообщество WM
На сайте: 0/10
counter
KatStat.ru - Топ рейтинг сайтов Top.Mail.Ru BodrtTop.Ru - Топ рейтинг сайтов WAP и WEB