Хакеры используют сайты WordPress для питания фишинговых атак ClickFix нового поколения

Исследователи только что раскрыли информацию о новой вредоносной кампании WordPress, которая захватывает легитимные сайты для поддержки фишинговых атак ClickFix следующего уровня. Это не ваши бабушкины фишинговые наборы - они используют методы кэш-контрабанды, чтобы оставаться под радаром.

Цепочка атаки гладкая: скомпрометированные сайты WordPress получают инъекцию вредоносного JavaScript, который перенаправляет посетителей на эти фишинговые страницы ClickFix. Что делает это следующим поколением? Злоумышленники используют уязвимости отравления кэша, чтобы их вредоносный контент выглядел легитимным для сканеров безопасности.

Команды безопасности в Palo Alto Networks и Microsoft отслеживают эту кампанию, отмечая, что злоумышленники специально нацелены на темы WordPress с известными уязвимостями. Как только они получают точку опоры, они развертывают наборы ClickFix, которые имитируют легитимные запросы на обновление программного обеспечения и мошеннические схемы технической поддержки.

Техника кэш-контрабанды особенно умна - она позволяет обслуживать вредоносный контент из того, что кажется легитимными кэшированными страницами WordPress. Это значительно усложняет обнаружение для традиционных инструментов безопасности и провайдеров CDN, таких как CloudFlare.

Разведка угроз указывает, что это часть более широкой тенденции, когда злоумышленники выходят за рамки простого сбора учетных данных к более сложным тактикам социальной инженерии. Наборы ClickFix предназначены для обмана пользователей с целью установки вредоносного ПО или предоставления конфиденциальной информации под предлогом исправления несуществующих проблем с компьютером.