Эксперты по кибербезопасности обнаружили вредносное ПО BabaYaga. Оно предназначено для взлома сайтов на базе WordPress. Программное обеспечение появилось достаточно давно, но последнее обновление сделало его по-настоящему опасным. Зараженные страницы перенаправляют пользователей на маркетинговые ссылки. Если человек покупает по ним товар, то хакеру достается определенный процент.
Эксперты отмечают, что BabaYaga состоит из двух модулей: один внедряет спам в уязвимые сайты, другой служит для постоянного контроля зараженной страницы. Примечательно, что BabaYaga не только работает по прямому назначению, но и может защищать себя, уничтожая конкурентов – другое вредоносное ПО. То есть вредоносный код в чем-то повторяет функции антивируса, удаляя с сайтов другие, сторонние вирусы, но делает он это лишь для того, чтобы они не мешали его работе. Также BabaYaga также имеет функцию автоматического обновления.
SEO-трафик с зараженных сайтов вирус перенаправляет на торговые площадки, с которыми у распространителей BabaYaga, предположительно, могут быть договоренности. Кроме того, «Баба Яга» также может встраиваться и на сайты, работающие под Joomla и Drupal, но подобное применение вируса пока не получило широкого распространения. Эксперты предполагают, что за разработкой вируса стоят русскоязычные хакеры.
WordPress регулярно становится целью атак вирусописателей. В прошлом году появилась информация, что вирус Wp-Vcd может размножаться при помощи «пиратских» тем непосредственно для WordPress. Таким образом, создавая фейковые специальные файлы WordPress под легитимными названиями, вредный вирус использовал систему как бэкдор. Wp-Vc для своих атак использовал известные уже уязвимости в плагинах либо самой CMS.
Также в 2017 году сотрудники компании ESET сообщили об обнаруженном ими бэкдоре Sathurbot. Жертвами ботнета становились пользователи учетных записей в WordPress. Через их аккаунты происходило дальнейшее распространение вредоносно ПО. Для своего распространения Sathurbot использовал торренты. Установка вируса, замаскированного под программы или видео, происходила, когда пользователь скачивал пиратский контент с определенного сайта.