Исследователи кибербезопасности Malwarebytes обнаружили несколько веб-сайтов WordPress (откроется в новой вкладке), которые были скомпрометированы и заражены вредоносным плагином, который незаметно производит рекламный трафик.
В сообщении в блоге (открывается в новой вкладке) с указанием их выводов утверждалось, что «пара десятков» веб-сайтов WordPress были взломаны, и тот, кто стоял за атакой, установил бэкдор под названием «fuser-master».
Fuser-мастер это работа. Сначала он создает определенный URL-адрес, и если пользователь щелкнет по нему, он будет перенаправлен на законный блог, но с всплывающей страницей. Этот попандер, купленный на другой странице, будет отображать несколько объявлений.
имитировать поведение человека
Затем плагин WordPress будет имитировать поведение человека, немного прокручивая страницу, прежде чем нажать на объявление. Если пользователь прокручивает, перемещает мышь или щелкает что-либо, плагин прекращает свою деятельность, еще больше маскируя свое присутствие.
Также утверждалось, что страница попандера время от времени обновлялась, загружая при этом вспомогательную рекламу. В дополнение к этому, если посетитель закроет браузер и увидит всплывающее окно, все движения прекратятся.
В общей сложности Malwarebytes обнаружил пятьдесят веб-журналов, скомпрометированных с помощью fuser-master. Исследователи добавили, что один из сайтов зафиксировал около четырех миллионов посещений только в январе, добавив, что средняя продолжительность посещения за этот период составляла почти XNUMX минут.
Авторы Fuser-master сделали все возможное, чтобы скрыть свою личность. Плагин не только старается спрятаться, но нигде нельзя найти ссылки на плагин, имя автора или место загрузки. Все, что удалось найти исследователям Malwarebytes, — это упоминание поисковика тем WordPress на сайте themesinfo.com.
На первый взгляд, большинство блогов кажутся законными. Однако в тот момент, когда пользователь вводит конкретный URL-адрес и другие факторы, сайт становится центром рекламного мошенничества.