Да, чем популярнее становится какой-либо программный продукт, тем больше находится людей, которые через найденные ими уязвимости в этом ПО каким-либо образом получают выгоду. Кто легально, сообщая об ошибках и получая награду, кто и совсем незаконно. Компания WebSence на днях сообщила об обнаруженной ее экспертами новой волне заражения блогов на основе CMS Wordpress. Волна не такая уж и массовая, но все равно, стоит обратить внимание на эту новость.
Всего эксперты обнаружили примерно 30 тысяч блогов на основе указанной CMS. Блоги, насколько можно судить, заражаются при помощи автоматизированного программного обеспечения. Ну, а цель злоумышленников — распространение своей программы — поддельного антивируса. В общем, все достаточно обычно. Интересно, что в данном случае страдают не сами веб-мастера и их сайты, а посетители. Последних редиректит (в три этапа) на сайт с поддельными антивирусными продуктами. На этом сайте пользователю показывается сообщение о том, что его компьютер заражен. Ну, и далее все по накатанной.
Все зараженные странички блогов имели в футере вот такой вот код.
Распространение лже-антивируса тема не новая, но в данном случае все это стало ну очень массовым, причем распространение зловредного ПО ведется необычным методом. Интересно, что большинство блогов, которые были обнаружены экспертами из WebSence, никак друг с другом не связаны. Кроме того, эти блоги расположены на разных хостингах, и имеют самую разную тематику. Общее в данном случае то, что сайты работали на устаревшей версии Wordpress. В результате около 200 тысяч страничек были скомпрометированы (как уже указывалось выше, это 30 тысяч ресурсов).
Примерно 85% взломанных блогов расположены в США, но это скорее совпадение, чем намеренная работа злоумышленников.
Via websense.com