За последние несколько дней три разные фирмы, специализирующиеся на компьютерной безопасности, сообщили о внезапном росте количества взломанных сайтов, работающих под управлением системы управления контентом WordPress. Чаще всего взломанные сайты пытаются заразить пользователей вирусами-вымогателями.

Заражение происходит через известный в хакерских кругах Nuclear exploit kit, пользующийся уязвимостями в старых версиях Adobe Flash Player, Adobe Reader, Microsoft Silverlight и Internet Explorer. На компьютер жертвы устанавливается вредонос-вымогатель TeslaCrypt, шифрующий файлы и требующий затем выкуп за ключ для расшифровки.

Судя по всему, в WordPress была обнаружена очередная уязвимость, о которой разработчики системы пока не знают – или которую они не успели ещё исправить.
Вредоносный код, попадающий на взломанный сайт, дописывается в зашифрованном виде в конец JavaScript-файлов.

Образец зашифрованного кода

Чтобы затруднить обнаружение, взломанный сайт пытается заразить пользователей только при первом посещении, при этом посетителя несколько раз перенаправляют на другие сайты. Предлагаемый компанией Google сервис Safe Browsing уже отметил некоторые из этих сайтов, как вредоносные, однако, судя по отчётам безопасников, злоумышленники периодически меняют цепочку сайтов, ведущую посетителя к цели, чтобы избежать этой меры безопасности.

При этом антивирусы (по крайней мере, большинство из них), не будут служить панацеей – в данном случае, согласно отчёту VirusTotal, лишь 2 из 66 антивирусных программ отметили сайт как вредоносный. Пользователям рекомендуется своевременно обновлять программы до последних версий.

Администраторам сайтов специалисты рекомендуют пользоваться системами двухфакторной аутентификации и также не лениться обновлять версии систем, работающих на серверах.