Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

Сайты на WordPress и Joomla! распространяют вымогателя CryptXXX

За прошедший месяц тысячи сайтов, находящиеся под управлением WordPress и Joomla! были скомпрометированы и перенаправляют пользователей с целью заражения вымогателем CryptXXX.

Все указывает на то, что распространение CryptXXX при помощи скомпрометированных сайтов началось 9 июня, а 3 июля наблюдались пики активности. Согласно Sucuri, по крайней мере, 2000 сайтов содержали вредоносный код, а реальная оценка будет в пять раз выше, так как данные поступали от сканера SiteCheck, который ограничен.

При перенаправлении пользователей используются домены realstatistics[.]info и realstatistics[.]pro. Затем набор эксплоитов Neutrino, который на данный момент занимает лидирующие позиции среди наборов эксплоитов, пытается использовать Flash или PDF-уязвимости на компьютере жертвы. Если это удается, то используя эти уязвимости, на компьютер жертвы загружается вымогатель CryptXXX.

Исследователи Forcepoint отметили, что вышеупомянутые домены, использующиеся для перенаправления пользователей, были замечены и ранее при распространении наборов эксплоитов Neutrino и RIG. Исследователи связывают эти домены с появившейся два года назад Blackhat-TDS – вредоносной системой распределения трафика.

Однако исследователям не удалось пока определить масштабы заражения и то, как именно были скопрометированны сайты. По данным 60% пострадавших сайтов используют устаревшие версии Joomla! и WordPress, но также не исключено, что при заражении использовались уязвимости в плагинах и расширениях.

«Когда CMS устарела, это говорит о многом в отношении владельца сайта. Если владелец не может поддерживать в актуальном состоянии ядро своего сайта, то можно с уверенностью заявить, что модули и расширения так же устарели. А из наших предыдущих исследований можно сделать вывод, что основные атаки направлены именно на наличие уязвимостей в сторонних плагинах и расширениях.», утверждают исследователи.

Имея в своем распоряжении тысячи скомпрометированных веб-сайтов, в том числе некоторые, связанные с безопасностью, например, PCI Policy Portal, злоумышленники могут атаковать десятки тысяч пользователей одновременно. Пару недель назад SentinelOne установили, что менее чем за три недели CryptXXX принес сумму в $50,000только на один Bitcoin-кошелек.

Очевидно, что злоумышленники нацелены на использование новейших, ныне топовых угроз. Это стало понятно после того, как они быстро перешли на набор эксплоитов Neutrino в прошлом месяце, сразу после того, как в прошлом занимающий топовые позиции Angler исчез с рынка. CryptXXX тоже быстро стал лидирующим вымогателем и получил многочисленные обновления за последние пару месяцев.

Наиболее последнее изменение в функционале вымогателя было обнаружено SANS Internet Storm Center – видоизменилась записка с требованиями и начал использоваться новый сайт для оплаты.

Кроме того, Лоуренс Абрамс из BleepingComputer установил, что CryptXXX больше не использует специальное расширение, добавляя его к зашифрованным файлам, а жертвы перенаправляются на специальный сайт для оплаты, называющийся Microsoft Decryptor. В отличие от предыдущего платежного сайта, новый не предоставляет пользователям возможности связаться с администрацией в случае, если возникли какие-либо вопросы по оплате.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число атак через WhatsApp в России выросло в шесть раз в 2025 году

По данным Координационного центра доменов .RU/.РФ, число случаев мошенничества в мессенджере WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta) увеличилось в шесть раз в первом квартале 2025 года по сравнению с аналогичным периодом прошлого года.

Согласно оценкам экспертов, опрошенных «Известиями», самыми распространёнными мошенническими схемами являются звонки от имени сотрудников правоохранительных органов или руководителей компаний, массовые рассылки с взломанных аккаунтов, а также фишинговые атаки, маскирующиеся под предложения от различных компаний.

Директор компании «Интернет-Розыск» Игорь Бедеров отметил, что цель таких атак — получить от жертвы подтверждение данных или «проверить безопасность счетов». Для повышения доверия злоумышленники активно используют утечку персональных данных.

«Если мошенники выходят на связь через сообщения, они часто отправляют фишинговые ссылки на поддельные сайты. Также они могут просить передать коды из СМС», — добавил Игорь Бедеров.

Одна из популярных схем — звонок от имени руководителя компании, который якобы просит помочь сотруднику ФСБ или МВД. Такой «сотрудник» действует крайне напористо, запугивает жертву и заставляет выполнять его указания.

«Мне сказали, что моя фамилия фигурирует в деле о незаконном выводе денег за границу от имени моей компании. Были предъявлены документы и распоряжение генерального директора. Руководитель якобы просил содействовать органам и выполнить их инструкции. Меня заставили назвать номера счетов и банковских карт, а потом — перевести средства на другие счета. Запугивание продолжалось несколько часов. К счастью, я вовремя опомнился», — рассказал москвич Михаил.

Как свидетельствуют обсуждения на форумах и в соцсетях, такие «сотрудники» обычно прекращают общение, если собеседник требует соблюдения официальных процедур, например, предъявления ордера при визите домой.

По словам представителя Координационного центра доменов .RU/.РФ Евгения Панкова, за первые месяцы 2025 года число атак на пользователей WhatsApp в России выросло в шесть раз по сравнению с аналогичным периодом прошлого года.

«У WhatsApp в России большая пользовательская база, включая наиболее уязвимые категории — детей и пожилых людей. Основными инструментами злоумышленников остаются фишинг и социальная инженерия. Они легко адаптируют сценарии под текущие интересы людей, что создаёт для них эффект “золотой лихорадки”», — пояснил Панков.

Также набирает обороты захват учётных записей. Чтобы потерять доступ к аккаунту, достаточно перейти по вредоносной ссылке. После взлома аккаунт используется для массовой рассылки сообщений с просьбами о финансовой помощи — и люди нередко на них откликаются.

По словам Игоря Бедерова, злоумышленники рассылают такие сообщения, в том числе с использованием голосовых сообщений, созданных на основе образцов реального голоса родственников или знакомых жертвы с применением дипфейк-технологий.

Широко распространены и фишинговые рассылки, ведущие на поддельные сайты, где собираются данные банковских карт. Для привлечения внимания используются обещания крупных скидок, бонусов, лотерей и выгодных инвестиций.

В преддверии отпусков активизировались рассылки с предложениями выгодного бронирования отелей и аренды жилья на курортах. При этом мошенники используют и другие каналы — социальные сети и видеохостинги.

«Мне предложили забронировать отель “Жемчужина” в Сочи на июнь со скидкой 30%. Я действительно интересовалась этим отелем и связалась через WhatsApp с якобы его сотрудниками. Меня попросили перевести 50 тыс. рублей для фиксации брони. Однако по приезде выяснилось, что бронь не была оформлена. Пришлось срочно искать другое жильё. Деньги вернуть не удалось, несмотря на обращение в полицию», — рассказала одна из жертв схемы.

«Пользователям важно соблюдать базовые правила безопасности: включить двухфакторную аутентификацию или настроить ключи доступа для защиты аккаунта, критически относиться к “щедрым” предложениям и сомнительным просьбам. Не переходите по ссылкам из подозрительных сообщений и используйте надёжное защитное решение на всех устройствах — это поможет предотвратить переход на фишинговые или мошеннические сайты», — порекомендовала контент-аналитик “Лаборатории Касперского” Татьяна Щербакова.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru