Согласно отчету компании Sucuri, хакеры взламывают плохо защищенные сайты на WordPress, чтобы внедрить сильно обфусцированный JavaScript-код, который выводит на сайт поддельное уведомление от Cloudflare.
Как показано ниже, посетителю сайта предлагается кликнуть на кнопку, чтобы обойти защиту от DDoS-атак. Если жертва кликает на кнопку, то на ее компьютер загружается файл ‘security_install.iso’, который выдает себя за инструмент, необходимый для обхода защиты.
Фальшивое уведомление от Cloudflare
Затем жертве предлагается открыть файл security_install.iso, который маскируется под приложение DDOS GUARD, и ввести указанный код.
Окно для ввода кода на сайте и генератор кода
Когда пользователь открывает файл security_install.iso, он видит файл security_install.exe, который запускает PowerShell-команду из файла debug.txt.
Содержимое файла security_install.iso
После этого запускается цепочка скриптов, которые генерируют фальшивый код, необходимый для просмотра сайта, а также устанавливают популярный троян удаленного доступа (
Источник: SecurityLab