Вредоносный PHP-скрипт спамерского ботнета обнаружен на 5000 сайтов

Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайтов для перенаправления пользователей на страницы, рекламирующие диеты и таблетки для усиления интеллекта.

Впервые ботнет, а точнее связанные с ним вредоносные кампании, были замечены еще в марте 2017 года, однако только сейчас специалисты Proofpoint выявили полную картину происходящего.

Исследователи рассказывают, что операторы Brain Food компрометируют сайты, работающие под управлением различных CMS, включая WordPress и Joomla. При этом эксперты не считают, что злоумышленники эксплуатируют какие-то конкретные уязвимости в системах управления контентом.

После себя на взломанных сайтах хакеры оставляют полиморфный и обфусцированный PHP-скрипт, содержащий несколько слоев шифрования base64. Кроме того, он защищен от индексирования Google. По запросу от операторов ботнета этот скрипт может выполнять любые команды, в сущности, представляя собой полноценный бэкдор. Однако главная его цель – перенаправлять пользователей на конкретные страницы в рамках спам-кампаний.

Дело в том, что операторы Brain Food рассылают письма со спамом, в которых содержатся сокращенные ссылки, указывающие на PHP-скрипты на взломанных сайтах. Если жертва нажимает на такую ссылку, скрипт переадресует ее на другой скомпрометированный сайт, где злоумышленники разместили веб-страницу, рекламирующие таблетки для повышения интеллекта (обычно с использованием фальшивого брендинга) или различные диеты.

Специалисты Proofpoint пишут, что скрипты способны получать от операторов Brain Food новые адреса для таких редиректов, в зависимости от того, какая спам-кампания сейчас активна. Кроме того, скрипты собирают статистику кликов по каждой кампании злоумышленников.

Исследователи обнаружили заражение более чем на 5000 сайтов, в основном расположенных в сети GoDaddy. Сообщается, что более 2400 из этих ресурсов были активны на прошлой неделе.