SOS :: Security Operation Space
19 июня, вторник, 00:00
|
Hot News:

BabaYaga приводит в порядок сайт — чтобы не выгнали

09 июня 2018 г., суббота, 02:40

Зловред, внедряющий на WordPress-сайты скрытые рекламные ссылки, обрел функции самосохранения.

Малопримечательный зловред, ориентированный на WordPress и предназначенный для внедрения скрытых рекламных ссылок на сайты, обрел средства самосохранения, способные доставить много хлопот администраторам онлайн-ресурсов.

По свидетельству Defiant (бывшей WordFence), авторы BabaYaga придали своему детищу функциональность, позволяющую удалять конкурентов и обновлять CMS?систему, чтобы зараженный сайт исправно работал, не вызывая подозрений у веб-мастера.

Данная вредоносная программа, как показало исследование, состоит из двух компонентов. Один из них создает спам-страницы с редиректорами на партнерские сайты и повышает их рейтинг в поисковых системах, добавляя расхожие ключевые слова. Новейшие образцы этого зловреда даже сообщают на C&C-сервер, сколько страниц проиндексировано в поисковиках Google, Bing, Yahoo и Yandex, чтобы злоумышленники могли определить SEO-ценность зараженного сайта.

Другой компонент BabaYaga открывает бэкдор, обеспечивая операторам постоянный доступ к сайту. Примечательно, что при подаче команд через этот модуль злоумышленники не используют пароль — зловред идентифицирует их по строке User-Agent в заголовке запроса.

С помощью набора команд оператор может уточнить текущую версию BabaYaga (тот сам обновляется), загрузить на сайт новый спам-шаблон или произвольный PHP-код с последующим его исполнением, сменить адрес командного сервера (дефолтный вшит в код зловреда), проверить производительность скрипта, распространить инфекцию на другие сайты на том же сервере.

Поскольку основная функциональность BabaYaga требует беспрепятственной загрузки страниц, его авторы заинтересованы в том, чтобы зараженный сайт работал нормально. К тому же любой сбой может привлечь внимание веб-мастера, который в ходе аудита обнаружит нежелательное присутствие.

Чтобы создать зловреду благоприятные условия, его научили проверять определенные файлы на наличие других инфекций и производить чистку, закачивать с C&C безупречные копии WordPress и производить замену — даже создавать резервные копии перед обновлением, а затем аккуратно их удалять.

Практически все функции BabaYaga заточены под WordPress, хотя этот зловред, по свидетельству Defiant, может также заражать сайты, использующие Joomla или Drupal.

Исследователи полагают, что BabaYaga создал русскоязычный вирусописатель — об этом прежде всего говорит его название. В конфигурационном файле зловреда обнаружен ключ массива с русскоязычным именем, написанным латиницей. Кроме того, многие C&C-серверы злоумышленники подняли в доменах, привязанных к зоне .ru, и некоторые из этих доменных имен зарегистрированы под email-адресом @yandex.ru.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
18:39
16:44
14:29
17:33
15:34
15:15
15:07
14:28
14:14
14:01
13:55
07:30
06:30
16:04
15:55
15:27
15:02
14:23


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.073
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.