Вредоносная киберкампания, направленная против сайтов на основе WordPress, была обнаружена специалистом по информационной безопасности компании Sucuri Денисом Синегубко. Как указывается в блоге компании, хакеры, используя специальный код, помещают на ресурсах бэкдоры и повторно заражают даже те страницы, которые уже были очищены от вредоносного программного обеспечения.
Зашифрованный вредоносный код внедряется хакерами во все JavaScript-сценарии на сайтах на базе WordPress. Как утверждает специалист, вредоносное программное обеспечение осуществляет установку множественных бэкдоров в разные файлы на веб-сервере и регулярно производит обновление встроенного кода. Таким образом, сайт постоянно заражен вредоносной программой, а попытки удалить ее оказываются безуспешными.
Угрозе подвержены все JavaScript-сценарии на всех доменах в пределах одного и того же аккаунта хостинга. Чтобы устранить угрозу, нужно изолировать все веб-ресурсы, относящиеся к аккаунту, и осуществить удаление вредоносного программного обеспечения.
Вредоносная программа задействует несколько вариантов зашифрованного кода, имеющих одинаковую структуру. На инфицированных компьютерах производится установка рекламного файла cookie, который размещает модифицированные невидимые фреймы <iframe> на посещаемых сайтах.
Как рассказал специалист Sucuri, киберпреступниками часто применяется технология «затенения доменов». Хакеры могут добавлять к легитимным доменам второго уровня вредоносные поддомены. Такой способ, в частности, используется для распространения набора эксплоитов Angler.