За даними дослідників GoDaddy, близько 1980 сайтів на базі WordPress виявилися зараженими багатоступеневим шкідливим ПЗ, яке використовує профілі Steam Community як канал керування. Шкідник застосовує стеганографію на основі невидимих Unicode-символів для прихованої передачі адрес корисного навантаження, а на фінальному етапі розгортає повноцінний серверний бекдор із віддаленим виконанням PHP-коду. Кампанія, як повідомляється, активна щонайменше з липня 2025 року. Власникам WordPress-ресурсів рекомендується негайно перевірити логи на звернення до Steam Community та домену hello-mywordl[.]info.
Механізм атаки: від невидимих символів до віддаленого виконання коду
Початковий вектор компрометації наразі не встановлений. Дослідники припускають кілька можливих сценаріїв: крадіжка облікових даних адміністраторів або FTP/SFTP, компрометація ланцюга постачання, а також експлуатація вразливих тем і плагінів WordPress. Відсутність підтвердженого вектора означає, що стандартні заходи захисту — оновлення плагінів, зміна паролів, обмеження доступу — залишаються актуальними одночасно.
Після отримання доступу зловмисники впроваджують перший компонент шкідника, який під час завантаження сторінок звертається до певних профілів Steam Community. Ключова особливість кампанії — спосіб передавання керівних даних. Коментарі в профілях Steam виглядають як звичайний текст, однак містять невидимі Unicode-символи, що несуть закодоване корисне навантаження.
Шість символів стеганографії
Для кодування даних нападники використовують шість конкретних Unicode-символів:
- U+200C — Zero-width non-joiner
- U+200D — Zero-width joiner
- U+2061 — Function application
- U+2062 — Invisible times
- U+2063 — Invisible separator
- U+2064 — Invisible plus
Шкідливе ПЗ повністю ігнорує видимий текст коментаря й обробляє лише ці символи, перетворюючи їхню послідовність на бінарні дані. Такий підхід примітний тим, що шість символів дозволяють кодувати трохи понад 2,5 біта на символ (log₂6 ≈ 2,58), чого достатньо для компактної передачі URL або коротких команд, водночас залишаючись повністю невидимими для людини, яка переглядає профіль Steam.
Після декодування малвар завантажує адресу домену hello-mywordl[.]info, звідки отримує JavaScript-код. Цей скрипт впроваджується в усі сторінки зараженого сайту. Для маскування використовуються назви файлів, що імітують легітимні бібліотеки: asahi-jquery-min-bundle і lodash.core.min.js.
Серверний бекдор
На заключному етапі на сервері розгортається бекдор, який очікує спеціально сформовані POST-запити. Активація відбувається лише за наявності певного автентифікаційного cookie — без нього бекдор залишається неактивним, що ускладнює виявлення під час сканування. У разі успішної автентифікації зловмисники отримують можливість передавати на сервер PHP-код у кодуванні Base64 та виконувати його віддалено. Фактично це дає повний контроль над сервером.
Техніки ухилення від виявлення
Кампанія демонструє продуманий набір методів маскування. За даними дослідників GoDaddy, шкідливе ПЗ використовує обфускацію рядків через шістнадцяткові та вісімкові послідовності, випадково згенеровані імена функцій, а також активне використання стандартних API WordPress. Останній прийом особливо ефективний: шкідлива активність змішується з легітимними викликами WordPress, що робить її практично не відрізнити від нормальної роботи CMS під час аналізу логів без спеціалізованих інструментів.
Вибір Steam Community як керівної інфраструктури — ще один рівень маскування. Трафік до Steam не викликає підозр у більшості систем фільтрації, а сама платформа безпосередньо не контролюється зловмисниками, що ускладнює блокування з боку захисників. При цьому нападники можуть оперативно змінювати вміст коментарів, оновлюючи адреси корисного навантаження без потреби повторного доступу до заражених сайтів.
Оцінка впливу
Масштаб у ~1980 заражених сайтів, за даними одного джерела, вказує на масову автоматизовану кампанію. WordPress займає понад 40% ринку CMS, і заражені ресурси можуть належати до найрізноманітніших галузей — від малого бізнесу до медіа та електронної комерції. Наявність повноцінного бекдора з віддаленим виконанням коду означає, що скомпрометовані сервери можуть використовуватися для подальших атак: розміщення фішингових сторінок, перенаправлення відвідувачів на шкідливі ресурси, викрадення даних із баз WordPress або використання серверних потужностей для проксування трафіку.
Індикатори компрометації та рекомендації
Для виявлення зараження слід перевірити такі індикатори:
- Вихідні запити до доменів Steam Community (steamcommunity.com) із серверних скриптів
- З’єднання з доменом hello-mywordl[.]info
- Підозрілі JavaScript-файли з іменами, що імітують популярні бібліотеки (
asahi-jquery-min-bundle,lodash.core.min.js) - Наявність невидимих Unicode-символів (U+200C, U+200D, U+2061–U+2064) у коді сайту
- Незвичні записи
_transient_caption_у базі даних WordPress - Вимкнена SSL-верифікація в cURL-запитах
- POST-запити з параметром
new_code
Практичні кроки для реагування:
- Перевірити серверні логи на наявність перелічених індикаторів за допомогою
grepчи аналогічних інструментів - Виконати пошук невидимих Unicode-символів у файлах теми та плагінів:
grep -rP '[\x{200C}\x{200D}\x{2061}-\x{2064}]' /path/to/wordpress/ - Змінити всі адміністративні паролі та ключі доступу FTP/SFTP
- Оновити WordPress, усі плагіни й теми до актуальних версій
- У разі виявлення зараження — відновити файли з завідомо чистої резервної копії, а не намагатися «вичистити» шкідливе ПЗ вручну
- Заблокувати на рівні файрвола або WAF вихідні з’єднання з hello-mywordl[.]info
З огляду на те, що початковий вектор атаки не встановлений, а бекдор забезпечує повний віддалений контроль над сервером, власникам WordPress-сайтів варто в пріоритетному порядку перевірити наявність перелічених індикаторів компрометації. Особливу увагу слід приділити JavaScript-файлам із нетиповими назвами та вихідним з’єднанням до Steam Community із серверного середовища: саме ці ознаки найнадійніше відрізняють цю кампанію від іншого шкідливого ПЗ для WordPress.
