Троянская программа может распространяться через сайты на базе WordPress

Эксперты из компании Heimdal Security сообщают об росте числа кибератак, в рамках которых происходит внедрение хакерами вредоносного скрипта в популярные сайты, использующиеся позже для распространения вымогательского программного обеспечения. Злоумышленники, используя набор эксплоитов Neutrino, осуществляют атаки на Интернет-ресурсы, которые работают на устаревшей системе управления содержимым (CMS).

По информации компании, большая часть – почти 59% – потенциально зараженных таким образом ресурсов работают на платформе WordPress. 20% сайтов, работающих на WordPress, используют устаревшие версии CMS. Исходя из этих сведений, что вредоносные скрипты могут быть внедрены в почти 142 миллиона сайтов. Злоумышленники могут скомпрометировать и ресурсы, которые используют последние версии WordPress, в том случае, если они слабо защищены или работают с применением устаревших плагинов.

Ежемесячно сайты на платформе WordPress посещают 409 миллионов человек, поэтому количество вероятных жертв вымогательского программного обеспечения может быть катастрофически огромным.

Внедрение вредоносного скрипта в ссылки на целевой сайт происходит на «полпути» к домену thedancingbutterfly.com. Этим доменом осуществляется перенаправление трафика на nkzppqzzzumhoap.mi, где содержится набор эксплоитов Neutrino, пытающийся заразить систему пользователя вымогательской троянской программой TeslaСrypt. Neutrino использует уязвимости состояния записи в Adobe Reader/Acrobat, Adobe Flash Player и Internet Explorer.

Троянская программа TeslaСrypt производит шифровку файлов, содержащих потенциально важные данные, и добавляет файлы, описывающие, как можно расшифровать информацию за определенную плату.

Эксперты настоятельно рекомендуют пользователям производить своевременную установку обновлений.