Специалисты компании c/side обнаружили активную хакерскую кампанию, нацеленную на массовое распространение вредоносного программного обеспечения. По их данным, более 10 000 сайтов подверглись взлому, включая ресурсы с высокой посещаемостью. Злоумышленники модифицируют страницы, чтобы обманом заставить посетителей скачать и установить заражённые файлы.
Когда пользователь заходит на скомпрометированный сайт, ему отображается поддельная страница обновления браузера Chrome, предлагающая загрузить якобы необходимый файл. Если пользователь соглашается, на его устройство скачивается вредоносное ПО. В зависимости от операционной системы загружается одна из двух программ — Amos (или Atomic Stealer) для macOS и SocGholish для Windows.
Amos — один из самых распространённых инфостилеров для macOS. Он продаётся по модели «вредоносное ПО как услуга», что позволяет любому желающему приобрести доступ и использовать его для кражи паролей, сессий, криптокошельков и других данных. Запуск Amos на macOS требует от пользователя дополнительных действий, но хакеры рассчитывают на невнимательность жертв. SocGholish, нацеленный на Windows, действует аналогично.
Компания c/side сообщила об инциденте разработчику WordPress — Automattic, передав список вредоносных доменов. В компании подтвердили получение уведомления, но отметили, что безопасность сторонних плагинов лежит на их разработчиках.
Эксперты советуют владельцам сайтов своевременно обновлять WordPress и используемые плагины, а пользователям — загружать обновления браузеров только через встроенные механизмы и не скачивать файлы с неизвестных источников.