Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайтов для перенаправления пользователей на страницы, рекламирующие диеты и таблетки для усиления интеллекта.
Впервые ботнет, а точнее связанные с ним вредоносные кампании, были замечены еще в марте 2017 года, однако только сейчас специалисты Proofpoint выявили полную картину происходящего.
Исследователи рассказывают, что операторы Brain Food компрометируют сайты, работающие под управлением различных CMS, включая WordPress и Joomla. При этом эксперты не считают, что злоумышленники эксплуатируют какие-то конкретные уязвимости в системах управления контентом.
После себя на взломанных сайтах хакеры оставляют полиморфный и обфусцированный PHP-скрипт, содержащий несколько слоев шифрования base64. Кроме того, он защищен от индексирования Google. По запросу от операторов ботнета этот скрипт может выполнять любые команды, в сущности, представляя собой полноценный бэкдор. Однако главная его цель – перенаправлять пользователей на конкретные страницы в рамках спам-кампаний.
Дело в том, что операторы Brain Food рассылают письма со спамом, в которых содержатся сокращенные ссылки, указывающие на PHP-скрипты на взломанных сайтах. Если жертва нажимает на такую ссылку, скрипт переадресует ее на другой скомпрометированный сайт, где злоумышленники разместили веб-страницу, рекламирующие таблетки для повышения интеллекта (обычно с использованием фальшивого брендинга) или различные диеты.
Специалисты Proofpoint пишут, что скрипты способны получать от операторов Brain Food новые адреса для таких редиректов, в зависимости от того, какая спам-кампания сейчас активна. Кроме того, скрипты собирают статистику кликов по каждой кампании злоумышленников.
Исследователи обнаружили заражение более чем на 5000 сайтов, в основном расположенных в сети GoDaddy. Сообщается, что более 2400 из этих ресурсов были активны на прошлой неделе.
Читайте также
Последние новости