Эксперты из Sucuri выявили новую вредоносную программу, которая осуществляет перехват cookie-файлов. Она расположена в легитимном файле JavaScript, который замаскирован под домен WordPress.
Чтобы создать фиктивный домен code.wordprssapi[.]com, хакеры воспользовались техникой тайпсвоттинг (регистрация доменных имен, схожих с названиями известных сайтов), которая также известна как перехват URL. Этим методом зачастую пользуются киберпреступники для того, чтобы завлечь посетителей на свои веб-страницы. Таким образом, фальшивый сайт, замаскированный под настоящий домен WordPress, не вызывает подозрений у жертв.
Как утверждает аналитик Sucuri Сезар Анхос, хакеры добавили вредоносный код в JavaScript-файл, который предназначен для переадресации конфиденциальных данных, в том числе cookie-файлов, на фальшивый сайт. Вероятнее всего для того, чтобы внедрить обфусцированный код, злоумышленники воспользовались одной из уязвимостей в WordPress.
При анализе кода экспертом был обнаружен условный оператор, который исключает файлы cookie из поля User-Agent в поисковых роботах. Это дает скрипту возможность отсеивать ненужные сведения и передавать хакерам лишь ценные данные.
После хищения пользовательских cookie-файлов злоумышленник может от имени жертвы проводить различные действия.