Специалистом из компании Sucuri выявил вредоносную кампанию, нацеленную на сайты под управление CMS WordPress. В рамках данной кампании, злоумышленники вставляют на ресурсы бэкдоры и повторно инфицируют даже очищенные от вредоносного ПО страницы, используя для этих целей специальный код.

Хакеры внедряют зашифрованный вредоносный код во все JavaScript-сценарии на целевых сайтах под управлением WordPress. Вредоносное ПО устанавливает множественные бэкдоры в различные файлы на web-сервере и регулярно обновляет встроенный код. В результате сайт оказывается постоянно инфицирован, а попытки удаления вируса оказываются безрезультатными.

Опасности подвержены все JavaScript-сценарии на всех доменах в пределах одной и той же учетной записи хостинга. Чтобы устранить угрозы, необходимо изолировать все сайты на учетной записи и удалить вредоносное ПО.

Сам вирус использует несколько вариаций зашифрованного кода с одинаковой структурой. На зараженных ПК устанавливается рекламный файл cookie, который в свою очередь вставляет на посещаемые сайты модифицированные невидимые фреймы <iframe>.

Эксперт заверяет, что злоумышленники активно используют технологию «затенения доменов». Преступники спокойно могут добавить вредоносные поддомены к легитимным доменам второго уровня. В свою очередь такие поддомены используются для распространения вредоносного ПО – например, набора эксплоитов Angler.