Компания Defiant опубликовала детальный отчет о малвари «BabaYaga», созданной вероятно русскоговорящими мошенниками.
Зловред атакует сайты на WordPress и перенаправляют посетителей зараженных сайтов на различные торговые площадки. С этих площадок создатели малвари получают доход
Особенность «Бабы Яги» в том, что она самостоятельно обновляет WordPress и удаляет конкурирующую малварь. Ведь для корректной работы вредоноса необходимо чтобы сайт работал без багов, сбоев и был обновлен до последней версии.
Специалисты отмечают, что «BabaYaga» написана не дилетантами. Теоретически такая схема атак может быть использована против любых сайтов, написанных на PHP. Однако преступники пока атакуют только сайты на WordPress.
Как определить, что сайт заражен
В первую очередь посмотрите логи и проверьте были ли контакты с 7od.info (178.132.0.105) и my.wpssi.com (89.38.98.31). Если сайт контактировал с этими ресурсами — скорее всего он скомпрометирован.
Добавить комментарий