На протяжении почти четырех месяцев так называемые «скрипт-кидди» забавлялись с одним из поддоменов Стэнфордского университета – устанавливали web-оболочки, почтовые программы и различное вредоносное ПО. Инфекция была обнаружена исследователями компании Netcraft на прошлой неделе. Эксперты сообщили о проблеме администрации университета, и вскоре сайт был очищен.
Речь идет о сайте Центра биологии старения человека имени Поля Гленна при Стэнфордском университете. Судя по временным меткам в файлах, загруженных на скомпрометированный сайт, взлом произошел 31 января 2017 года. Взломавший ресурс хакер загрузил на него упрощенную web-оболочку, и на сайт слетелись другие киберпреступники. Они стали устанавливать более сложные web-оболочки и другое ПО.
Исследователи обнаружили на сайте множество фишинговых страниц для выманивания учетных данных пользователей Office 365, Gmail и LinkedIn. Также были обнаружены инструмент для фишинга и фишинговая страница для похищения платежных данных клиентов американской холдинговой компании SunTrust Bank. Наличие большого числа почтовых программ свидетельствует о том, что взломанный сайт также использовался для рассылки спама.
Исследователям так и не удалось определить изначальную точку входа, позволившую преступнику взломать сайт. Ресурс работает на базе последней версии WordPress 4.7.5, поэтому вряд ли хакер проэксплуатировал уязвимость в CMS. Вероятно, злоумышленник воспользовался уязвимостью в теме сайта или плагине.

Источник: securitylab.ru