10 000 сайтов в Интернете перенаправляют пользователей на порносайты

• 14 марта, 2023
• 20:30

Исследователи ИБ-компании Wiz — это стартап, который предоставляет решения для кибербезопасности облачной инфраструктуры AWS, Microsoft Azure и GCP. Компания была основана в 2020 году бывшими руководителями Microsoft Cloud Security Group.

» data-html=»true» data-original-title=»Wiz»>Wiz сообщили , что с начала сентября 2022 года злоумышленники взломали около 10 000 веб-сайтов с китайской аудиторией, чтобы перенаправлять посетителей на сайты для взрослых.

Широкомасштабная кампания включает в себя внедрение кода JavaScript — это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.

» data-html=»true» data-original-title=»JavaScript»>JavaScript на взломанные веб-сайты, используя подключение к целевому серверу с использованием украденных FTP (File Transfer Protocol) — это протокол, используемый для передачи файлов между компьютерами в Интернете. Он позволяет пользователям загружать файлы с компьютера на сервер и скачивать файлы с сервера на компьютер.
Протокол FTP также поддерживает функции управления файлами на сервере, такие как создание и удаление каталогов, переименование файлов и т.д.
Протокол FTP имеет некоторые ограничения, такие как невозможность передачи больших файлов и не лучшую безопасность, поэтому в настоящее время вместо него часто используют более современные протоколы передачи файлов, такие как SFTP или FTPS.

» data-html=»true» data-original-title=»FTP»>FTP-аккаунтов.

«Во многих случаях это были надежные сгенерированные учетные данные, которые злоумышленник каким-то образом получил ранее», — заявили эксперты Wiz.

Поскольку взломанные веб-сайты, принадлежащие как небольшим фирмам, так и транснациональным корпорациям, используют разные технологические стеки и хостинги, это затрудняет отслеживание вектора атаки.

При этом у сайтов есть один общий признак – большинство из них размещены либо в Китае, либо в другой стране, и предназначены для китайских пользователей. Более того, URL-адреса, на которых размещается вредоносный код JavaScript, имеют Геозонирование (Geofencing) — технология, позволяющая взаимодействовать с пользователями в заданных зонах. Когда мобильное устройство клиента попадает в установленную область, соответствующая информация поступает в сервис рассылки и может использоваться как триггер для автоматической отправки сообщения или как источник маркетинговых данных. Геопозиция пользователя определяется с помощью GPS или триангуляции по Wi-Fi-сигналу или вышек сотовой связи.

» data-html=»true» data-original-title=»Геозонирование»>геозонирование, чтобы ограничить выполнение кода в некоторых странах Восточной Азии.

Исследователи добавили, что кампания также нацелена и на устройства Android: сценарий перенаправления ведет посетителей на сайты азартных игр, которые призывают их установить приложение (APK-файл).

Личность злоумышленника пока неизвестна, и, хотя его точные мотивы еще не установлены, есть подозрение, что целью кампании является мошенничество с рекламой или привлечение неорганического трафика на сайты злоумышленников. Эта кампания также примечательна тем, что в ней не используется фишинг, Скимминг – вид мошенничества с банковскими картами, который предусматривает использование специальных устройств (скиммеров). С помощью таких устройств мошенники считывают информацию, содержащуюся на магнитной полосе карты.
Скиммеры, как правило, прикрепляются к банкоматам, а именно – к принимающему слоту. PIN-код карты фиксируется с помощью дополнительно закрепленной рядом с банкоматом видеокамеры. Подобные устройства обычно оснащены передатчиками, дистанционно передающими полученную информацию. После получения информации с карты, мошенники изготавливают её дубликат. А зная PIN-код, могут снять деньги со счета владельца подлинной карты.