Хакеры получили доступ к более чем 10 тысячам сайтов на системе управления WordPress с целью распространения вредоносной рекламы

[Gordon 0]

Специалисты по безопасности из компании Check Point, обнаружили новую кампанию по распространению вредоносной рекламы, в процессе которой зараженными оказываются порядка 40 тыс. компьютеров и смартфонов каждую неделю.
По мнению специалистов, организаторы данной вредоносной кампании объединились с рекламной сетью и реселлерами для перенаправления пользователей на мошеннические сайты, распространяющие вымогательское ПО, банковские трояны и иные вирусы. Эта схема получила название Master134 исходя из адреса главного управляющего сервера кампании.
Согласно докладу исследователей, в первую очередь атакующие взламывают ресурсы, работающие на системе управления WordPress. Специалисты уже нашли более 10 тыс. сайтов, взломанных в ходе этой кампании. На всех скомпроментированных ресурсах работает система управления контентом WordPress версии 4.7.1, в которой была обнаружена критическая брешь, которая позволила хакерам удаленно выполнять произвольный код.
Получив доступ к сайту, киберпреступники размещают на нем рекламные объявления, которые выполняют редирект пользователей на портал Master134.
Сервис Master134 необходим для того, чтобы продвигать рекламные места в рекламной сети AdsTerra под учетной записью издателя. Данные рекламные места после этого приобретались хакерами для перенаправления жертв на взломанные ресурсы.
Специалисты Check Point сообщают, что почти все рекламные места приобретались через реселлера AdsTerra. В числе покупателей значатся операторы наборов эксплоитов (таких как RIG, Magnitude, GrandSoft, FakeFlash), систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) и фрод сайтов, маскирующихся под саппорт.
«Судя по всему, кооперация между различными группами хакеров успешно поддерживается через сторонние рекламные сети, крупнейшей из которых оказалась AdsTerra», - заявили специалисты.
«Основываясь на наших выводах, мы думаем, что мошенники платят Master134 напрямую. Master134 затем выплачивает средства рекламной сети, с целью перенаправления трафика и, возможно, скрытия его происхождения», - заключили они.