Тысячи веб-страниц были использованы хакерами для распространения вредоносных программ.

Обсуждая кампанию подробно, GTIG отметила, что это дело UNC5142 — относительно нового субъекта угроз, появившегося в конце 2023 года и прекратившего свои операции в июле 2025-го. Пока неясно, является ли эта пауза временной или постоянной, либо группа просто перешла к иным методам работы. Учитывая предыдущие успехи по компрометации сайтов и распространению вредоносного ПО, Google предполагает, что UNC5142 улучшил способы маскировки своего присутствия и продолжает действовать в интернете.

В рамках кампании UNC5142 выбирал уязвимые сайты на WordPress — те, у которых были слабые плагины или темы файлов, а иногда и сама база данных WordPress. Эти ресурсы становились целью многоступенчатого загрузчика JavaScript под названием CLEARSSHOT, который позволял распространять вредоносное программное обеспечение. Загрузчик загружал вторую стадию нагрузки с публичного блокчейна, часто используя цепь BN.

“Использование технологии блокчейн для большей части инфраструктуры и операций UNC5142 повышает их устойчивость перед усилиями по обнаружению и уничтожению”, — говорится в отчете.

Из публичного блокчейна вредоносная программа забирала страницу загрузки CLEARSSHOT с внешнего сервера. Эта страница использовала тактику социальной инженерии ClickFix, заставляя пользователей копировать и вставлять команду в окно программы Run (или приложение Terminal) на Windows или Mac соответственно, что приводило к загрузке вредоносности. Страницы загрузки часто размещались на поддомене .dev платформы Cloudflare и передавались в зашифрованном виде.

Следите за новостями TechRadar в Google News и добавьте нас как предпочитаемый источник информации для получения экспертных новостей, обзоров и мнений прямо в ваши ленты.

Также не пропустите наши видео на TikTok о последних технологических разработках и новостях.