Глобална хакерска кампания превзема стотици WordPress сайтове за разпространение на малуер

Изследователи откриват мащабна операция, при която легитимни сайтове – включително медии и страница на кандидат за Сената на САЩ – се превръщат в платформи за заразяване.

Киберпрестъпници са компрометирали стотици уебсайтове по света, включително регионални медии и официалната страница на кандидат за Сената на САЩ, разкрива ново изследване на Rapid7. Вместо да създават зловредни сайтове от нулата, атакуващите превземат доверени страници, изградени върху WordPress, и ги използват като канали за разпространение на малуер.

Според компанията над 250 сайта в 12 държави – сред които Великобритания, САЩ, Германия, Австралия, Канада, Бразилия, Индия, Словакия и Швейцария – вече са засегнати. Rapid7 не уточнява кои уязвимости са използвани за пробива, но посочва, че чести входни точки са остарели плъгини, социално инженерство и атаки срещу неподдържани сайтове.

Фалшив Cloudflare CAPTCHA води до заразяване

След като атакуващите получат достъп, посетителите на компрометирания сайт виждат фалшива Cloudflare CAPTCHA. Вместо да проверява дали потребителят е човек, измамният „ClickFix“ подканва жертвата да копира и изпълни команда на компютъра си. Тя стартира зловреден PowerShell скрипт, който поставя началото на инфекцията.

След изпълнение командата изтегля допълнителни скриптове от сървъри, контролирани от нападателите. Изследователят Милан Спинка описва в подробен анализ как тези скриптове използват Windows API функции като VirtualAlloc и CreateThread, за да заредят зловреден код директно в паметта. Така малуерът избягва част от инструментите за откриване, които следят файловете на диска.

Инфостийлъри крадат пароли, cookies и крипто портфейли

Крайната цел на атаката е инсталиране на инфостийлъри, включително обновена версия на Vidar stealer, .NET-базиран малуер, наречен от Rapid7 Impure stealer, както и новооткрития VodkaStealer, за който изследователите предполагат, че може да е създаден чрез „vibe coding“.

След инсталация тези инструменти претърсват системата за чувствителни данни – запазени в браузъра пароли, authentication cookies, информация от крипто портфейли и други.

Rapid7 не разкрива имената на засегнатите организации, но потвърждава, че сред тях има регионални медии, местни бизнеси и „в един случай – официалната страница на кандидат за Сената на САЩ“. Компанията е уведомила американските власти за този инцидент.

Данните сочат, че кампанията е активна от декември, но части от инфраструктурата ѝ датират от средата на 2025 г., което подсказва, че операцията е била подготвяна дълго преди да бъде разгърната в пълен мащаб.