07/06/23
В течение нескольких лет киберпреступники использовали сайты госорганов и университетов США, а также некоторых европейских компаний и образовательных учреждений для распространения своей рекламы хакерских услуг и фишинговых ссылок. Об этом передает Securitylab.
Хакеры загружали на сайты PDF-файлы с рекламными текстами и ссылками, эксплуатируя уязвимости в системах управления контентом (CMS) или легитимные формы для отправки документов. Сроки проведения спам-кампании не установлены. Эксперты полагают, что за атаками может стоять один хакер или небольшая группа.
Среди жертв кампании – сайты госструктур некоторых штатов США, в том числе Калифорния и Вашингтон, а также официальные сайты города Джонс-Крик (Джорджия) и Федерального управления общественной жизни (Federal administration for Community Living). Инцидент затронул также и образовательные учреждения. На сайтах многих университетов США были обнаружены PDF-файлы с рекламой хакерских услуг.
Стоит отметить, что злоумышленники также размещали свою рекламу на сайте Букингемского университета в Великобритании, что свидетельствует о том, что хакеры действовали как минимум в Северной Америке и Европе. Кроме того, киберпреступники проникли на сайт испанского отделения «Красного креста» и на сайт неизвестной туристической компании в Ирландии.
Однако основной фокус хакеров был сделан на США, и пока неясно, почему они выбрали именно США. Как сообщает TechCrunch, хакеры публиковали рекламу на сайте американской оборонной компании и производителя аэрокосмической техники Rockwell Collins – дочерней компании военно-промышленного гиганта Raytheon.
Что содержат PDF-файлы
PDF-файлы, которые хакеры загружали на сайты различных организаций, сами по себе не несут угрозы, в отличие от того, что в них написано. Документы содержат ссылки на разные сайты, где пользователям предлагается воспользоваться хакерскими инструментами для взлома популярных веб-сервисов, в том числе ShapChat, Facebook* и Instagram*.
Исходный код мошеннических сайтов показал, что рекламируемые хакерские услуги являются подделкой, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.
