Взломанные сайты активно используются для криптоджекинга, раздачи зловредов и реализации мошеннических схем.
Ссылаясь на результаты исследования Malwarebytes, новостное издание Security Week сообщает, что сайты, не успевшие залатать уязвимость Drupalgeddon 2, активно используются для криптоджекинга, раздачи зловредов и реализации мошеннических схем.
Заплатки для опасной бреши удаленного исполнения кода CVE-2018-7600, получившей известность как Drupalgeddon 2, были выпущены в конце марта, причем пользователей заранее попросили запланировать обновление CMS. Спустя месяц вышел дополнительный патч, так как первоначальный, как выяснилось, лишь частично устраняет проблему. Новому багу, возникшему из-за оплошности разработчиков, был присвоен идентификатор CVE-2018-7602.
Первые атаки на CVE-2018-7600 были зафиксированы через две недели после выпуска патча. Затем эксплойт к этой уязвимости был загружен на IoT-ботнет Muhstik и, таким образом, поставлен на поток. Злонамеренное использование CVE-2018-7602 началось сразу после выхода патча.
С тех пор прошел месяц, и эксперты Malwarebytes решили проверить, как обстоят дела на этом фронте. Оказалось, что, несмотря на заблаговременные предупреждения, многие пользователи Drupal не удосужились вовремя установить заплатки или произвести апгрейд — из-за отсутствия необходимых навыков, опасения нарушить функциональность либо по финансовым соображениям — и многие сайты заражены.
Совокупно исследователи насчитали более 900 вредоносных объектов, внедренных на сайты, различные по профилю и используемому языку. К счастью, многие из них являются, по всем признакам, временными версиями, созданными в процессе переноса данных, и трафик на них минимален.
Примечательно, что почти половина взломанных сайтов используют Drupal 7.5.x, около 30% — Drupal 7.3.x, которая последний раз обновлялась в августе 2015 года, а остальные — сборки 7.4.x или 7.2.x.
Большое количество подвергнутых проверке ресурсов оказались зараженными на стороне сервера — в частности, на многих был обнаружен криптомайнер XMRig. Однако исследователей больше интересовали последствия компрометации, способные составить угрозу для посетителей сайтов Drupal.
Более 80% таких находок вполне ожидаемо были связаны с веб-майнингом — в основном это был отрабатывающий в браузере скрипт Coinhive. Около 12% зараженных сайтов отдавали визитерам программу удаленного администрирования или похитителя паролей, замаскированные под обновление браузера.
Порядка 7% взломанных ресурсов использовались злоумышленниками для махинаций под видом оказания услуг технической поддержки. На большинстве таких Drupal-сайтов был установлен редиректор на страницу в TLD-зоне .TK (в национальном домене Токелау регистрация осуществляется в основном бесплатно), которая блокирует браузер и для решения проблемы предлагает позвонить на номер, якобы принадлежащий службе техподдержки.
Владельцы скомпрометированных сайтов уже извещены об опасных находках.