Основная роль залитого кода заключалась в том, чтобы действовать как прокси и перенаправлять весь входящий трафик взломанных сайтов на удаленный сервер преступников. Именно на этом сервере и происходило самое интересное. Типичная атака выглядела следующим образом:
пользователь посещает взломанный WordPress-сайт;
взломанный сайт перенаправляет запрос пользователя на управляющий сервер хакеров;
если пользователь соответствует определенным критериям, сервер хакеров сообщает сайту, чтобы тот ответил посетителю HTML-файлом с мошенническим интернет-магазином, торгующим широким спектром товаров;
взломанный сайт отвечает на запрос пользователя, демонстрируя мошеннический магазин вместо исходного сайта, который пользователь собирался просмотреть.
По данным эксперта, к тому времени, когда хакеры добрались до его сервера-приманки, они уже успели запустить более 7000 таких фейковых магазинов.
Кроме того, хакеры генерировали XML-карты для взломанных ресурсов, которые содержали записи о мошеннических интернет-магазинах наряду с аутентичными страницами сайта. Злоумышленники создавали такие карты, «скармливали» их поисковой системе Google, а затем удаляли карты с сайтов, чтобы избежать обнаружения.
Хотя эта процедура выглядит безобидной, на самом деле она оказывала большое влияние на пострадавшие сайты. Дело в том, что в конечном итоге такие XML-карты значительно снижали рейтинги ресурсов в результатах поиска. По мнению Кэшдоллара, такая схема может использоваться для вымогательства, связанного с SEO. К примеру, преступники намеренно снижают рейтинг сайта в поисковой выдаче, а затем просят у его влалельцев выкуп, чтобы устранить последствия атаки и «вернуть все как было».
Источник - xakep.ru
Kriminal.lv в Телеграме
