Эксперты из Malwarebytes обратили внимание на новую методику распространения набора эксплоитов Angler. При заражении сайтов, работающих под управлением Joomla и WordPress, Angler имитирует плагин с кнопками социальных сетей, не вызывая у администратора сайта каких-либо подозрений.
Поскольку вредоносное программное обеспечение, внедренное на сайт, может заметить любой ответственный администратор, разработчики Angler придумывают новые техники для того, чтобы усыплять бдительность пользователей. Набор эксплоитов Angler зачастую инфицирует веб-ресурсы, которые функционируют под управлением популярных CMS. Злоумышленники таким образом облегчают себе жизнь, поскольку обнаружить в таких сайтах баг или уязвимый плагин гораздо проще. Но главная цель киберпреступников – как можно дольше иметь доступ к системе, чтобы вредоносное обеспечение инфицировало большое количество компьютеров пользователей взломанного сайта.
При получении доступа к ресурсу набор эксплоитов внедряет на страницы сайта вредоносный JavaScript. В том случае, если что-то подозрительное будет замечено администратором сайта, то доменное имя, которым пользуются злоумышленники, все же может ввести в заблуждение: администратор может подумать, что вредоносные файлы являются частью обычного плагина для социальных сетей. Экспертами Malwarebytes были зафиксированы файлы analytics.js и widget.js, каждый из которых имеет как безвредную, так и вредоносную версию. При непосредственном изучении кода JavaScript выясняется, что он абсолютно безвреден: внутри него нет никаких вредоносных программ. Без взломанного сайта невозможна подмена файла на вредоносную версию.
По словам исследователей, в данном конкретном случае набор эксплоитов занимался распространением вредоносной программы Bedep.
Все инфицированные сайты работали с устаревшими версиями программного обеспечения или были взломаны с помощью метода полного перебора. Эксперты Malwarebytes настоятельно рекомендуют пользователям вовремя производить обновление программного обеспечения и защищать свою информацию надежными паролями.