Ваш браузер в опасности: хакеры рассылают вирусы через рекламные сети и взломанные сайты

Вы просто зашли на блог или новостной сайт на WordPress — и попали в ловушку. Ваш клик запускает целую цепочку событий, в конце которой вас ждёт вирус, фейковый розыгрыш или подписка на спам-уведомления. Это не случайность. Это — часть масштабной и хорошо отлаженной схемы.

Тысячи сайтов на WordPress, даже те, что выглядят абсолютно легальными, уже стали частью киберпреступной машины. Их взламывают, чтобы использовать как промежуточные звенья в глобальной сети по доставке вредоносной рекламы. За этим стоит хитроумная схема, где хакеры сотрудничают не только между собой, но и с вполне «официальными» рекламными компаниями.

Как всё работает? Сначала злоумышленники находят уязвимости в плагинах WordPress. После успешного взлома на сайт встраивают вредоносный скрипт — чаще всего на JavaScript. Этот код запускает скрытую переадресацию: пользователь думает, что попал на обычный сайт, но на самом деле его браузер уже работает по сценарию хакеров. Его могут перебросить на фейковую страницу «капчи», где он сам — не зная того — подписывается на спам-уведомления. А дальше — поток фишинга, вирусов и мошеннических розыгрышей.

Центральным звеном в схеме выступает система VexTrio — распределитель трафика (TDS), которая как диспетчер решает, куда направить каждого посетителя. Но самое неприятное — это участие крупных рекламных сетей, таких как Los Pollos, BroPush, Partners House и даже RichAds. Несмотря на публичные заявления об отказе от «серых» схем, их домены и ID продолжают всплывать в новых волнах вредоносных рассылок.

Некоторые из этих схем используют легальные инструменты, например Google Firebase, чтобы отправлять вредоносный контент. Это делает их практически невидимыми для систем безопасности.

Анализ трафика и DNS-запросов показал: десятки разных кампаний используют одни и те же технологии, скрипты и даже IP-адреса. Это не хаос, а слаженная инфраструктура. И именно рекламные сети продолжают сотрудничать с такими «паблишерами», несмотря на очевидные признаки мошенничества.