Російські хакери заражають WordPress-сайти через рекламу — перевірте, чи ви у безпеці

Дослідники з компанії Infoblox виявили масштабну схему, в якій хакери — частина з них має зв’язки з російськими дезінформаційними кампаніями — разом із легальними рекламними компаніями об’єдналися, щоб заражати сайти шкідливим кодом і перенаправляти користувачів на небезпечні ресурси. Про це пише Techradar.

Що сталося

Хакери з російським слідом спільно з рекламними мережами заражають сайти WordPress по всьому світу — зловмисники перенаправляють трафік через фейкові CAPTCHA, push-нотифікації та шкідливі скрипти. У центрі цієї операції — система VexTrio, яка відповідає за автоматичне перенаправлення трафіку через фейкові банери, фішингові повідомлення та обманні CAPTCHA.

Серед залучених платформ — Los Pollos, RichAds, Partners House та BroPush. Дослідники зазначають, що деякі з них знали, з ким мають справу, і свідомо підтримували зв’язки з хакерами.

Як це працює

Хакери зламують сайти на WordPress, вбудовують скрипти перенаправлення й змушують користувачів підписатися на повідомлення у браузері. Надалі через ці сповіщення надсилаються фішингові посилання, які обходять навіть сучасні системи безпеки. Частина трафіку проходить через Google Firebase, що робить виявлення ще складнішим.

За п’ять місяців Infoblox проаналізував 4,5 мільйона DNS-відповідей, які вказують на одну інфраструктуру, попри зміну назв і методів, що об’єднує різні шкідливі кампанії — зокрема Help TDS і Disposable TDS, які працюють як проксі для VexTrio.

Як захиститися

• Не вмикайте push-сповіщення, якщо сайт виглядає підозріло або просить це через CAPTCHA.
• Оновлюйте WordPress, особливо якщо керуєте сайтом.
• Використовуйте системи із принципом “нульової довіри” (ZTNA) — вони краще виявляють такі аномалії.
• Перевіряйте DNS-налаштування й трафік на сайті — часто саме там видно шкідливу активність.

За словами дослідників, рекламні компанії, які поки що уникають відповідальності, можуть реально зупинити цю схему — якщо захочуть. Але поки що реклама залишається одним з найнебезпечніших каналів зараження, і звичайному користувачу варто бути максимально обережним навіть під час простого серфінгу.