Киберпреступники используют устаревший редактор контента CMS, чтобы манипулировать результатами поиска

Основная тактика злоумышленников заключается в использовании так называемых открытых перенаправлений (Open Redirect), которые позволяют переадресовывать посетителей с легитимного сайта на внешний URL без должной проверки безопасности. Такой механизм делает возможным проведение фишинговых атак, распространение вредоносного ПО и имитацию доверенных доменов, что увеличивает шансы обхода фильтров безопасности.

Атаки стали возможны из-за уязвимости в FCKeditor, популярном веб-редакторе, который позволяет пользователям редактировать HTML-контент непосредственно на веб-странице. Редактор был переименован и обновлен в 2009 году. Несмотря на запуск более современной версии под названием CKEditor, некоторые учреждения до сих пор используют устаревшую версию, что и стало причиной текущих проблем.

Специалист по кибербезопасности «@g0njxa» выявил кампанию после того, как обнаружил в результатах поиска Google вредоносные ссылки, размещенные на сайтах университетов. Среди пострадавших учреждений — MIT, Колумбийский университет, Университет Барселоны, Университет Вашингтона, а также правительственные и корпоративные сайты, включая сайт правительства Вирджинии и города Остин в Техасе.

Мошенники создают статические HTML-страницы под легитимным доменом для того, чтобы «отравить» результаты поисковых систем вредоносными ссылками (SEO Poisoning). Например, одна из таких страниц маскируется под статью о лекарствах от тиннитуса, но на самом деле продвигает другие страницы, которые затем могут перенаправить жертву на вредоносные сайты.

Разработчики ПО заявили, что FCKeditor стал устаревшим еще с 2010 года и его использование с тех пор не рекомендуется. Тем не менее, не редкость, что сайты университетов и правительств продолжают использовать программное обеспечение, снятое с производства много лет назад, что подвергает их риску кибератак.