Специалисты компании Prevailion опубликовали новое исследование, посвященное методам работы ботнета WordPress-ботнета WP-VCD. Данный ботнет активен с начала 2017 года и его основная деятельность — управление сетью из 20 000 сайтов с «бесплатными загрузками», через которые распространяются пиратские коммерческие темы для WordPress. Пользователям, которые загружают такие пиратские темы, конечно же неизвестно, что те содержат бэкдор, который позволяет хак-группе WP-VCD захватывать контроль над зараженными сайтами.

Скомпрометированные таким образом ресурсы используются для перенаправления посетителей на вредоносные сайты, где размещаются фишинговые страницы или малварь. Но помимо этого WP-VCD также внедряет на взломанные сайты рекламу, чтобы получать доход еще и с помощью рекламных схем (оплата за каждый показ или за каждый клик).

Однако, по данным множества исследований, в настоящее время примерно 30-45% всех пользователей интернета используют блокировщики рекламы, что, разумеется, негативно сказывается и на рекламных доходах группировки WP-VCD.

Исследователи Prevailion рассказывают, что группировка не сидит сложа руки и уже отреагировала на эту тенденцию. Теперь хакеры интегрируют в свою малварь скрипт антиблокировщика, который помогает обходить механизмы обнаружения рекламы, используемые современными расширениями для блокировки рекламы, и показывать рекламу несмотря ни на что. Причем, по мнению экспертов, хакеры использовали для этих целей скрипт, который был размещен в сети еще в 2017 году.