Хакеры используют скомпрометированные сайты на WordPress для рассылки фишинговых писем

Сайты, работающие на основе CMS WordPress, часто оказываются скомпрометированными и в дальнейшем используются для рассылки спама и фишинговых писем. Зачастую это происходит из-за использования устаревшей версии популярного CMS или уязвимых плагинов к нему. Об этом  пишет  специалист компании Sucuri Дэниэл Сид (Daniel Cid).

В качестве примера Сид привел одно из фишинговых писем, которое он получил на свой ящик электронной почты. В нем предлагалось немедленно перейти по ссылке, чтобы просмотреть важный документ, касающийся «недавних переговоров». Ссылка вела на подставной сайт, имитирующий внешний вид страницы входа Документов Google.

Как сообщает Сид, количество фишинговых страниц в интернете непрестанно увеличивается. В 2008 году специалисты Google детектировали примерно 3 тысячи таких страниц в день, в то время как сейчас детектируется более 23 тысяч фишинговых ресурсов ежедневно.

Большинство сайтов, с которых рассылаются фишинговые письма, работали под управлением CMS WordPress. Злоумышленникам удалось скомпрометировать эти ресурсы и разместить подставные web-страницы в подпапках сайтов. Чаще всего использовались папки wp-includes и wp-content.

В качестве основной причины взлома вначале рассматривалась уязвимая версия WordPress, но оказалось, что большинство скомпрометированных ресурсов использовали последнюю версию CMS (3.9.2 / 4.0). Проблема крылась в устаревших версиях многих плагинов для WordPress, которые были установлены на большинстве взломанных сайтов. Используя SQL-инъекции или удаленное выполнение команд, хакеры могли за несколько минут получить доступ к любому ресурсу, использующему уязвимые плагины.