Тысячи веб-сайтов стали жертвами коварной и растущей вредоносной схемы.

Исследователи обнаружили более 150 000 скомпрометированных сайтов

Эти сайты содержали вредоносное ПО, которое накладывало на них вредоносные посадочные страницы. Администраторам веб-сайтов рекомендуется проверить свой код.

Недавно исследователи безопасности c/side сообщили о крупномасштабной кампании по угону веб-сайтов, в ходе которой неизвестные злоумышленники захватили 35 000 веб-сайтов и использовали их для перенаправления посетителей на вредоносные страницы и даже для распространения вредоносных программ. Теперь, месяц спустя, команда заявила, что кампания еще больше разрослась и теперь охватывает поразительные 150 000 веб-сайтов.

c/side считает, что кампания связана с уязвимостью Megalayer, поскольку она известна распространением вредоносного ПО на китайском языке, содержит одни и те же шаблоны доменов и одни и те же тактики сокрытия.

Открытые переадресации

Хотя метод немного изменился и теперь поставляется с «слегка обновленным интерфейсом», суть остаётся прежней, поскольку злоумышленники используют вставки iframe для отображения полноэкранной накладки в окне браузера посетителя. Наложения показывают либо поддельные легитимные сайты для ставок, либо полностью фальшивые страницы азартных игр.

c/side не предоставил подробностей о том, кто такие злоумышленники, кроме того, что они могли быть связаны с уязвимостью Megalayer. Вероятнее всего, злоумышленники – китайцы, поскольку они поступают из регионов, где распространён мандаринский язык, и поскольку конечные посадочные страницы представляют собой азартный контент под брендом Kaiyun.

Они также не обсуждали, как злоумышленникам удалось скомпрометировать десятки тысяч этих веб-сайтов, но, получив доступ, они использовали его для вставки вредоносного скрипта из списка веб-сайтов. «После загрузки скрипт полностью перехватывает окно браузера пользователя – часто перенаправляя его на страницы, рекламирующие платформу азартных игр (или казино) на китайском языке», – объяснили исследователи в предыдущем отчёте.

Чтобы снизить риск захвата веб-сайтов, c/side говорит, что администраторам веб-сайтов следует проверить свой исходный код, заблокировать вредоносные домены или использовать правила брандмауэра для zuizhongjs[.]com, p11vt3[.]vip и связанных с ними поддоменов. Также было бы разумно следить за журналами на предмет неожиданных исходящих запросов к этим доменам.