Дослідники з Infoblox виявили масштабну кібератаку, в рамках якої зловмисники проникають на сайти WordPress та перенаправляють їх відвідувачів на шахрайські сторінки через рекламні мережі.
Про це розповідає ProIT
Як працює схема з VexTrio
У центрі цієї злочинної інфраструктури знаходиться система під назвою VexTrio. Вона визначає, куди саме перенаправляти користувача — на фішингову сторінку, сайт із шкідливим ПЗ або ресурс із фейковими розіграшами. Для цього хакери використовують вразливості в WordPress, впроваджуючи редирект-скрипти, які звертаються до спеціально налаштованих DNS TXT-записів. Це дозволяє їм у режимі реального часу змінювати маршрути трафіку залежно від країни перебування, типу пристрою або навіть часу доби.
Роль рекламних мереж у поширенні загроз
Дослідники зазначають, що у схемі замішані комерційні рекламні компанії, такі як Los Pollos, RichAds і Partners House. Хоча вони позиціонують себе як легальні рекламні мережі, насправді співпрацюють із хакерами, отримуючи від них шкідливий трафік і спрямовуючи його до своїх рекламодавців незалежно від того, чи є контент безпечним. Відомо, що Los Pollos раніше вже була причетна до кампаній російської дезінформації.
“Один із головних інструментів у схемі — фейкові CAPTCHA-запити. Користувачам показують вікна з проханням «підтвердити, що ви не робот», а потім просять дозволити сповіщення браузера.”
Після цього зловмисники отримують змогу надсилати фішингові або вірусні повідомлення навіть через легальні сервіси, такі як Google Firebase.