Согласно последней информации, хакеры стали распространять вредоносные программы через сайты на WordPress посредством ложных страниц распределённой защиты Cloudflare от DDoS-атак. PCMag и Bleeping Computer пишут, что сайты на системе управления контентом WordPress взламываются при помощи NetSupport RAT и трояна для кражи паролей (RaccoonStealer).
Работающая в сфере кибербезопасности фирма Sucuri рассказала, как хакеры взламывают сайты на WordPress без надёжной защиты, чтобы внедрить код JavaScript, показывающий поддельные предупреждения DDoS-защиты Cloudflare. При посещении скомпрометированных сайтов предлагается нажать на кнопку для подтверждения проверки защиты от DDoS-атак. Это приводит к скачиванию файла «security_install.iso».
Дальше требуется открыть файл, который выдаёт себя за программу DDOS GUARD. Ещё есть файл security_install.exe. Это ярлык Windows, выполняющий команду PowerShell через файл debug.txt. После открытия файла в систему скачивается троян удаленного доступа NetSupport RAT. С ним устанавливается и запускается троян для кражи паролей Raccoon Stealer.
Впервые найденный в марте 2022 года, Raccoon Stealer в июне появился с рядом обновлений. После открытия в системе Raccoon 2.0 начинает сканировать пароли, файлы куки, данные автозаполнения и кредитной карты, которые хранятся в браузерах. Он умеет красть файлы и делать скриншоты.
Bleeping Computer пишет, что экраны защиты от DDoS-атак становятся всё более распространёнными. Их предназначение заключается в защите сайтов от вредоносных ботов, пытающихся вывести их из строя большим количеством запросов. Теперь такие экраны стали применять в качестве маскировки для распространения вирусов.
Sucuri советует администраторам просматривать файлы тем WordPress, которые выбирают злоумышленники. Кроме того, файлы формата ISO не применяются в экранах защиты от DDoS-атак, так что предложение скачать их сразу должно заставить насторожиться, пишет Digitaltrends.