Основным методом атаки стала кража учетных данных администраторов WordPress. Хакеры использовали эти данные для проникновения на сайты, после чего загружали вредоносные плагины, замаскированные под безобидные инструменты для администрирования. Эти плагины внедряли вредоносный JavaScript-код, который провоцировал появление поддельных уведомлений об обновлении браузера. Пользователи, увидев такие предупреждения, зачастую не подозревали о подвохе и следовали инструкциям, что приводило к загрузке и исполнению вредоносного кода на их устройствах.
Особенностью данной кампании стало использование фальшивых плагинов WordPress с такими названиями, как «Advanced User Manager» и «Quick Cache Cleaner». Внешне эти плагины не вызывали подозрений у администраторов, так как выглядели, как стандартные инструменты для управления пользователями и оптимизации кэша. Однако в их код были встроены опасные скрипты, направленные на заражение конечных пользователей.
Технологии атаки ClickFix
Для управления вредоносной нагрузкой злоумышленники использовали блокчейн и смарт-контракты, что усложнило процесс отслеживания вредоносных данных и сделало их практически незаметными для традиционных методов безопасности. Это также позволило хакерам автоматизировать распространение вредоносного ПО, увеличив скорость и масштаб атаки.
ClickFix стала новой угрозой для безопасности сайтов, так как использует методы социальной инженерии, чтобы убедить пользователей обновить свои браузеры, в то время как на самом деле происходит выполнение вредоносного кода. Это приводит к заражению компьютеров различными видами вредоносных программ, которые могут похищать данные пользователей или использовать их ресурсы для других целей.
Уязвимость плагина WordPress поставила под удар более 100 000 веб-сайтов
Связь с другими атаками
Исследователи из GoDaddy также отметили связь между ClickFix и предыдущей вредоносной кампанией ClearFake, которая была обнаружена еще в апреле. ClearFake также использовала поддельные обновления браузеров для заражения систем, сначала ориентируясь на пользователей Windows, а затем распространяясь на пользователей macOS. Однако, несмотря на схожие методы, ClickFix и ClearFake имеют свои различия, и специалисты склоняются к тому, что эти кампании являются частью разных групп атак.
Масштаб угрозы
GoDaddy начала отслеживать ClickFix с августа 2023 года и обнаружила, что за это время было взломано более 25 000 сайтов по всему миру. Кампания набирает обороты, и специалисты по безопасности предупреждают, что количество атак может продолжать расти, если веб-мастера и владельцы сайтов не примут меры предосторожности.
Важно понимать, что атаки ClickFix не связаны с какими-либо известными уязвимостями в экосистеме WordPress. Взломы происходили исключительно через кражу учетных данных, что подчеркивает необходимость использования надежных паролей и дополнительных мер безопасности, таких как двухфакторная аутентификация.
WordPress.org вводит двухфакторную аутентификацию (2FA)