Вредонос «Баба Яга» обновляет взломанные WordPress-сайты - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Вредонос «Баба Яга» обновляет взломанные WordPress-сайты - «Новости»

Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только удаляет с зараженных ресурсов конкурирующую малварь, но и устанавливает на сайты жертв обновления.


В своем отчете исследователи рассказывают, что вредонос «Баба Яга», по всей видимости созданный русскоговорящими преступниками, появился не недавно, просто ранее он ничем не выделялся и не представлял большой опасности, однако все изменилось после последних обновлений.


В настоящее время BabaYaga использует зараженные WordPress-сайты для внедрения на их страницы SEO-трафика и перенаправления посетителей на различные торговые площадки, которые платят за это операторам малвари. Так, если переадресованный пользователь совершает на таком сайте покупку, злоумышленники получают прибыль.


Малварь включает в себя два основных модуля. Первый используется для инжектов спамерского контента на страницы зараженных сайтов. Второй модуль представляет собой бэкдор, при помощи которого злоумышленники могут получить полный контроль и доступ к скомпрометированному ресурсу в любое время. Исследователи отмечают, что вредонос написан весьма умело и его разработчики определенно не новички. С технической точки зрения BabaYaga может использоваться и для атак на сайты под управлением Joomla, Drupal и даже на PHP-ресурсы, однако пока полностью концентрируется на WordPress.


От другой малвари такого рода «Бабу Ягу» отличают две особенности. Во-первых, вредонос может удалять с зараженных сайтов конкурирующие угрозы. Во-вторых, он способен устанавливать обновления и даже осуществить полную переустановку WordPress на сайте жертвы. Специалисты Defiant объясняют, что эти функции тесно связаны с функциональностью внедрения спама. Авторам BabaYaga важно, чтобы сайт работал без багов, сбоев и был обновлен до последних версий:


«Так как основная функциональность BabaYaga выполняется наряду с загрузкой страниц WordPress, [малвари] нужно, чтобы приложение работало корректно. Если в WordPress что-то сломается, вредоносный скрипт не сможет выполниться, когда страницу кто-либо посетит».


При этом специалисты подчеркивают, что механизм обновлений – не просто бесполезная функция, добавленная в код случайно. BabaYaga сполна пользуется своими возможностями, операторы вредоноса внимательно следят за своими кампаниями, а малварь даже тщательно создает резервные копии, на случай если обновление не удастся (если все прошло как нужно, бэкапы удаляются).


По тем же причинам BabaYaga избавляется от конкурентов. Для работы вредоносу нужен чистый, корректно работающий сайт, тогда как малварь конкурентов может быть написана плохо, что будет провоцировать сбои и мешать функционированию BabaYaga. К тому же многочисленные сбои и ошибки могут привлечь нежелательное для злоумышленников внимание администратора сайта, который в конечном итоге обнаружит на своем ресурсе заражение.


Источник новостиgoogle.com

Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только удаляет с зараженных ресурсов конкурирующую малварь, но и устанавливает на сайты жертв обновления. В своем отчете исследователи рассказывают, что вредонос «Баба Яга», по всей видимости созданный русскоговорящими преступниками, появился не недавно, просто ранее он ничем не выделялся и не представлял большой опасности, однако все изменилось после последних обновлений. В настоящее время BabaYaga использует зараженные WordPress-сайты для внедрения на их страницы SEO-трафика и перенаправления посетителей на различные торговые площадки, которые платят за это операторам малвари. Так, если переадресованный пользователь совершает на таком сайте покупку, злоумышленники получают прибыль. Малварь включает в себя два основных модуля. Первый используется для инжектов спамерского контента на страницы зараженных сайтов. Второй модуль представляет собой бэкдор, при помощи которого злоумышленники могут получить полный контроль и доступ к скомпрометированному ресурсу в любое время. Исследователи отмечают, что вредонос написан весьма умело и его разработчики определенно не новички. С технической точки зрения BabaYaga может использоваться и для атак на сайты под управлением Joomla, Drupal и даже на PHP-ресурсы, однако пока полностью концентрируется на WordPress. От другой малвари такого рода «Бабу Ягу» отличают две особенности. Во-первых, вредонос может удалять с зараженных сайтов конкурирующие угрозы. Во-вторых, он способен устанавливать обновления и даже осуществить полную переустановку WordPress на сайте жертвы. Специалисты Defiant объясняют, что эти функции тесно связаны с функциональностью внедрения спама. Авторам BabaYaga важно, чтобы сайт работал без багов, сбоев и был обновлен до последних версий: «Так как основная функциональность BabaYaga выполняется наряду с загрузкой страниц WordPress, _

0

Смотрите также

А что там на главной? )))



Комментарии )))