Компания Sucuri
По словам экспертов, хакеры обычно использовали взломанный сайт WordPress и внедряли туда вредоносную программу AngelDrainer. Атаки проводились несколько раз с разных URL. Однако в конце февраля злоумышленники начали использовать другой метод. Они использовали вредоносный скрипт с недавно зарегистрированного домена для перебора других сайтов WordPress через браузеры посетителей. Другими словами, злоумышленники проникают на сайт под управлением WordPress и внедряют вредоносный код в HTML-шаблоны. Эти скрипты заставляют браузер жертвы тайно связываться с сервером хакера и получать задание на перебор паролей. Оно предоставляется в виде JSON-файла, содержащего параметры, необходимые для атаки (ID, URL сайта, имя учетной записи, числа, обозначающие текущий набор паролей, которые нужно подобрать, и 100 паролей, которые нужно перебрать).
Ссылка скрыта от гостей
, что хакеры начали массированную атаку на сайты под управлением WordPress, внедряя скрипт, который позволяет браузерам посетителей взламывать пароли на других сайтах. Исследователи пишут, что хакеры, стоящие за этой кампанией, часто взламывают сайты, на которых внедряют скрипты для взлома криптовалютных кошельков. Поэтому, когда люди посещают такие сайты, скрипты показывают фальшивые сообщения и пытаются убедить жертв подключить свои кошельки. Если они поддаются на уговоры мошенников, скрипт крадет все активы, имеющиеся в их кошельках.По словам экспертов, хакеры обычно использовали взломанный сайт WordPress и внедряли туда вредоносную программу AngelDrainer. Атаки проводились несколько раз с разных URL. Однако в конце февраля злоумышленники начали использовать другой метод. Они использовали вредоносный скрипт с недавно зарегистрированного домена для перебора других сайтов WordPress через браузеры посетителей. Другими словами, злоумышленники проникают на сайт под управлением WordPress и внедряют вредоносный код в HTML-шаблоны. Эти скрипты заставляют браузер жертвы тайно связываться с сервером хакера и получать задание на перебор паролей. Оно предоставляется в виде JSON-файла, содержащего параметры, необходимые для атаки (ID, URL сайта, имя учетной записи, числа, обозначающие текущий набор паролей, которые нужно подобрать, и 100 паролей, которые нужно перебрать).