✔Комментарии в профилях Steam используются для управления малварью - «Новости»
Почти 2000 сайтов под управлением WordPress оказались заражены необычной малварью, которая использует комментарии в Steam Community в качестве управляющей инфраструктуры. Вредонос скрывает полезную нагрузку в невидимых Unicode-символах и получает команды через обычные профили пользователей Steam.
Кампанию обнаружили специалисты GoDaddy. По их данным, вредоносная активность длится как минимум с июля 2025 года, и признаки заражения были найдены примерно на 1980 ресурсах.
Пока неясно, каким образом злоумышленники получают первоначальный доступ к сайтам. По оценкам исследователей, речь может идти как о хищении учетных данных администраторов или FTP/SFTP, так и о компрометации цепочки поставок, эксплуатации уязвимых тем и плагинов для WordPress, и так далее.
После изначальной компрометации на сайт внедряется первый компонент вредоноса, который обращается к определенным профилям Steam Community при загрузке страниц. На первый взгляд комментарии в этих профилях выглядят безобидно, однако внутри текста скрываются невидимые Unicode-символы.
Для кодирования данных атакующие используют шесть символов Unicode: Zero-width non-joiner (U+200C), Zero-width joiner (U+200D), Function application (U+2061), Invisible times (U+2062), Invisible separator (U+2063) и Invisible plus (U+2064). Вредонос игнорирует весь видимый текст и обрабатывает только эти символы, преобразуя их в бинарные данные.
«Видимый текст выступает в роли маскировки, тогда как реальная полезная нагрузка скрыта в невидимых символах», — поясняют специалисты GoDaddy.
После расшифровки вредонос получает адрес hello-mywordl[.]info, откуда загружает jаvascript-код, и этот скрипт внедряется на все страницы зараженного сайта.
Дополнительную маскировку малвари обеспечивают имена файлов вроде asahi-jquery-min-bundle и lodash.core.min.js, которые должны создавать впечатление легитимных jаvascript-библиотек.
На заключительном этапе атаки на сервере разворачивается бэкдор. Он ожидает специально сформированные POST-запросы и активируется только при наличии определенного аутентификационного cookie. Если проверка проходит успешно, злоумышленники получают возможность передавать на сервер PHP-код, закодированный Base64, и выполнять его удаленно.
Чтобы избегать обнаружения вредонос использует сразу несколько техник. Исследователи упоминают обфускацию строк через шестнадцатеричные и восьмеричные последовательности, случайно генерируемые имена функций и активное использование стандартных API WordPress, благодаря чему вредоносная активность смешивается с обычной работой сайта.
Владельцам ресурсов под управлением WordPress рекомендуют проверить логи на наличие обращений к Steam Community, подозрительных внешних jаvascript и соединений с доменом hello-mywordl[.]info. Дополнительными индикаторами компрометации могут служить скрытые Unicode-символы в коде, необычные записи _transient_caption_, отключенная SSL-верификация в cURL-запросах, а также POST-запросы с параметром new_code.
