Исследователи из Infoblox обнаружили масштабную кибератаку, в рамках которой злоумышленники проникают на сайты WordPress и перенаправляют их посетителей на мошеннические страницы через рекламные сети.
Об этом сообщает ProIT
Как работает схема с VexTrio
В центре этой преступной инфраструктуры находится система под названием VexTrio. Она определяет, куда именно перенаправлять пользователя — на фишинговую страницу, сайт с вредоносным ПО или ресурс с фейковыми розыгрышами. Для этого хакеры используют уязвимости в WordPress, внедряя редирект-скрипты, которые обращаются к специально настроенным DNS TXT-записям. Это позволяет им в режиме реального времени изменять маршруты трафика в зависимости от страны пребывания, типа устройства или даже времени суток.
Роль рекламных сетей в распространении угроз
Исследователи отмечают, что в схеме замешаны коммерческие рекламные компании, такие как Los Pollos, RichAds и Partners House. Хотя они позиционируют себя как легальные рекламные сети, на самом деле сотрудничают с хакерами, получая от них вредоносный трафик и направляя его к своим рекламодателям независимо от того, безопасен ли контент. Известно, что Los Pollos ранее уже была причастна к кампаниям российской дезинформации.
«Один из главных инструментов в схеме — фейковые CAPTCHA-запросы. Пользователям показывают окна с просьбой «подтвердить, что вы не робот», а затем просят разрешить уведомления браузера.»
После этого злоумышленники получают возможность отправлять фишинговые или вирусные сообщения даже через легальные сервисы, такие как Google Firebase.