Российские хакеры заражают WordPress-сайты через рекламу — проверьте, в безопасности ли вы

Исследователи из компании Infoblox обнаружили масштабную схему, в которой хакеры — часть из них связана с российскими дезинформационными кампаниями — вместе с легальными рекламными компаниями объединились, чтобы заражать сайты вредоносным кодом и перенаправлять пользователей на опасные ресурсы. Об этом пишет Techradar .

Что произошло

Хакеры с российским следом совместно с рекламными сетями заражают сайты WordPress по всему миру – злоумышленники перенаправляют трафик через фейковые CAPTCHA, push-нотификации и вредоносные скрипты. В центре этой операции система VexTrio, которая отвечает за автоматическое перенаправление трафика через фейковые баннеры, фишинговые сообщения и обманные CAPTCHA.

Среди привлеченных платформ – Los Pollos, RichAds, Partners House и BroPush. Исследователи отмечают, что некоторые знали, с кем имеют дело, и сознательно поддерживали связи с хакерами.

Как это работает

Хакеры взламывают сайты WordPress, встраивают скрипты перенаправления и заставляют пользователей подписаться на сообщения в браузере. В дальнейшем через эти уведомления посылаются фишинговые ссылки, обходящие даже современные системы безопасности. Часть трафика проходит через Google Firebase, что делает обнаружение еще более сложным.

За пять месяцев Infoblox проанализировал 4,5 миллиона DNS-ответов, указывающих на одну инфраструктуру, несмотря на изменение названий и методов, объединяющих различные вредоносные кампании — в частности Help TDS и Disposable TDS, которые работают как прокси для VexTrio.

Как защититься

• Не включайте push-уведомление, если сайт выглядит подозрительно или просит это через CAPTCHA.
• Обновляйте WordPress, особенно если вы управляете сайтом.
• Используйте системы с принципом “нулевого доверия” (ZTNA) – они лучше обнаруживают такие аномалии.
• Проверяйте DNS-настройки и трафик на сайте — часто именно там видна вредная активность.

По словам исследователей, рекламные компании, пока избегающие ответственности, могут реально остановить эту схему — если захотят. Но пока реклама остается одним из самых опасных каналов заражения, и обычному пользователю следует быть осторожным даже во время простого серфинга.