В результате кибератаки реклама китайских нелегальных казино появилась на 150 тыс. сайтах
В феврале 2025 года была раскрыта масштабная кибератака, затронувшая более 150 000 сайтов по всему миру.
Хакеры использовали вредоносные скрипты, которые внедряли поддельные элементы интерфейса в страницы, перенаправляя посетителей на нелегальные китайские казино.
Давайте подробнее рассмотрим, как работает эта атака, её масштабы и методы защиты.
Характеристики атаки
Атака, обнаруженная исследовательской командой c/side, заключалась в внедрении вредоносных скриптов, которые создавали иллюзию легальности сайтов. Хакеры использовали скрытые элементы интерфейса с поддельным фуллскрин-интерфейсом, перенаправляя пользователей на сайты азартных игр, ориентированные на китайскую аудиторию.
Использование <iframe> и HTML-энкодирования
Для того чтобы скрыть истинную цель атаки, злоумышленники использовали элемент <iframe>, который внедрялся на страницы и заменял их контент. Этот метод позволял создать видимость обычного сайта, в то время как посетители на самом деле попадали на офшорные платформы для азартных игр.
Для усложнения обнаружения, код атакующих был зашифрован с использованием HTML Entity encoding. Это позволило скрыть реальный адрес скрипта и затруднить его обнаружение с помощью стандартных методов анализа.
Этапы атаки
- Внедрение скриптов
Злоумышленники добавляют скрипты на страницы сайтов, которые загружаются вместе с обычным контентом. С помощью этих скриптов создается фуллскрин-окно, которое затем перенаправляет пользователя на страницы с азартными играми. - Обфускация кода
Вредоносные скрипты используют обфускацию (сокрытие) кода, чтобы затруднить анализ. Например, JavaScript-методы и элементы, такие какeval()иsetInterval(), маскируют реальные действия скрипта и делают его трудным для обнаружения. - Поддельный брендинг
Для повышения доверия хакеры использовали логотипы и элементы дизайна известных брендов, таких как Bet365 и другие казино. Это помогало создать видимость, что пользователи переходят на легальные сайты. - Многоступенчатая редирекция
Когда пользователь попадал на поддельную страницу, его перенаправляли на другие сайты, которые могли блокировать доступ из разных регионов. Это было сделано для того, чтобы таргетировать в основном китайскоязычных пользователей, а также пользователей из США и Гонконга.
Методы защиты от подобных атак
Чтобы защититься от подобного рода атак, владельцам сайтов необходимо регулярно проверять свой код на наличие подозрительных скриптов и внедрений. Вот несколько ключевых шагов для защиты:
- Проверка на внедрение <iframe>
Важно следить за любыми изменениями в коде, особенно за появлением скрытых <iframe> элементов, которые могут быть внедрены на сайт. - Использование инструментов для анализа кода
Для обнаружения обфусцированных скриптов можно использовать онлайн-инструменты, такие как CyberChef, для декодирования HTML-entities и анализа JavaScript-кода. - Регулярный аудит безопасности
Проводите регулярные проверки и аудит безопасности на вашем сайте, чтобы своевременно выявлять подозрительные изменения в коде. - Обновление CMS и плагинов
Обновление используемых систем управления контентом (CMS) и плагинов помогает снизить риски уязвимостей, через которые хакеры могут проникнуть на сайт.
Масштабы атаки
На момент анализа было зафиксировано более 150 000 заражённых сайтов, причём этот показатель продолжает расти. Хакеры активно используют новые методы обфускации и изменения поведения атак, что делает их всё более сложными для обнаружения и предотвращения.
Кроме того, благодаря открытым инструментам для анализа кода, таким как PublicWWW, исследователи смогли выявить все заражённые сайты. Эти данные позволяют владельцам сайтов оперативно реагировать на угрозу.
Выводы
Масштабная атака, затронувшая более 150 000 сайтов, является ярким примером того, как современные угрозы становятся всё более сложными и изощрёнными. Важно, чтобы владельцы сайтов были на чеку и регулярно проводили аудиты безопасности, чтобы минимизировать риски для своих пользователей.