Хакеры заражают WordPress-сайты через поддельную капчу Cloudflare
2 мин
20
Масштабную кампанию по заражению легитимных сайтов на WordPress зафиксировали специалисты из Rapid7. Злоумышленники взламывают веб-ресурсы и превращают их в раздатчики инфостилеров. Схема существует с декабря 2025 года и остаётся активной до сих пор. За это время заражёнными оказались более 250 сайтов по всему миру, включая региональные СМИ, сайты локального бизнеса и даже официальную веб-страницу кандидата в Сенат США. География атак насчитывает как минимум 12 стран: Австралия, Бразилия, Канада, Чехия, Германия, Индия, Израиль, Сингапур, Словакия, Швейцария, Великобритания и США.
Идея атаки основана на доверии пользователей знакомым сайтам. Посетитель заходит на привычный ресурс и видит якобы стандартную капчу от Cloudflare. Однако она оказывается поддельной и запускает процесс заражения. Далее атака развивается в технике ClickFix. При нажатии на капчу появляется команда «Выполнить» в Windows, куда предлагается скопировать команду для дополнительной проверки. После запуска стартует многоэтапная загрузка и установка вредоносного ПО.
В качестве полезной нагрузки исследователи зафиксировали несколько инфостилеров. Vidar Stealer, Impure Stealer, Vodka Stealer и Double Donut. Цель вредоносных ПО — украсть учётные записи, пароли, данные криптокошельков и прочую конфиденциальную информацию. Похищенное организаторы либо используют сами, либо продают на подпольных форумах. Покупатели применяют данные, чтобы украсть у жертвы деньги или более прицельно атаковать конкретные компании.
Исследователи отмечают высокий уровень автоматизации атаки. Масштаб компрометации совершенно разных WordPress-площадок говорит об организованной долгосрочной преступной операции. Специалисты предупреждают, что эксплуатация легитимных сайтов делает угрозу опасной и для компаний, и для обычных пользователей.
Как именно взламывали сайты, пока остаётся неясным. Эксперты предполагают как эксплуатацию какой-то уязвимости в плагине или теме WordPress, так и использование ранее скомпрометированных учётных записей администраторов. Также возможен брутфорс публично доступных административных панелей.
