Множество хостящихся у GoDaddy сайтов оказались одновременно заражены бэкдором

Эксперты обнаружили, что множество сайтов на WordPress, использующих хостинг GoDaddy Managed WordPress, были заражены одинаковым бэкдором. Проблема затронула крупных реселлеров, включая MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, а также Host Europe Managed WordPress, пишет Хакер.

Проблему еще 11 марта заметили аналитики Wordfence, которые сообщают, что за сутки бэкдором было заражено 298 сайтов, 281 из которых были размещены у GoDaddy.

Сам бэкдор представляет собой старый инструмент для отравления SEO (SEO poisoning) в Google, датированный 2015 годом. Он имплантируется в wp-config.php, извлекает шаблоны спам-ссылок с управляющего сервера, а затем использует их для внедрения вредоносных страниц в результаты поиска.

Преимущественно такие шаблоны связаны с фармацевтическим спамом, и они показываются посетителям взломанных сайтов вместо фактического контента. Похоже, таким образом злоумышленники хотят вынудить жертв покупать поддельные продукты, теряя при этом деньги и сливая свои платежные реквизиты хакерам.

Вектор этой массовой атаки пока не определен, однако происходящее очень похоже на атаку на цепочку поставок. Стоит вспомнить, что в декабре 2021 года GoDaddy пострадал о утечки данных, которая затрагивала 1,2 млн клиентов компании, использующих WordPress. В их числе были и реселлеры Managed WordPress хостинга, упомянутые выше. Можно предположить, что эти инциденты связаны, и теперь мы наблюдаем последствия прошлогодней утечки.