Злоумышленники используют старый редактор, прекративший свое существование 14 лет назад, для компрометации сайтов образовательных и государственных учреждений по всему миру. Затем взломанные ресурсы используются для отравления поисковой выдачи (SEO Poisoning), а также продвижения мошеннических и скамерских сайтов.
Вредоносную кампанию обнаружил ИБ-исследователь под ником g0njxa, который первым заметил в результатах поиска Google рекламу бесплатных генераторов V Bucks (внутриигровая валюта Fortnite), размещенную на сайтах крупных университетов.
В X (бывший Twitter) g0njxa перечислил различные организации, на которые нацелены эти атаки. В первую очередь это образовательные учреждения, такие как МТИ, Колумбийский университет, Университет Барселоны, Обернский университет, а также университеты Вашингтона, Пердью, Тулейн, Центральный университет Эквадора и Гавайский университет.
Кроме того, кампания нацелена на правительственные и корпоративные сайты. Так, уже были скомпрометированы сайты правительства Вирджинии, правительства Остина, правительства Испании и Yellow Pages Canada.
Корнем проблемы во всех этих случаях стало использование старого редактора FCKeditor, который прекратил свое существование еще в 2009 году и был переименован в CKEditor (до этого разработчик не осознавал, что название «FCKeditor» на английском читается не очень прилично). Существующий по сей день CKEditor использует современную кодовую базу, более удобен в использовании и совместим с современными веб-стандартами, а также по-прежнему активно поддерживается разработчиком.
Как объяснил g0njxa, устаревший FCKeditor позволяет злоумышленникам осуществлять open redirect’ы, то есть сайты, намеренно или в результате ошибки, допускают произвольные перенаправления, которые уводят пользователей с исходного ресурса на внешний URL (без надлежащих проверок, в обход защиты). К примеру, если URL https://www.example[.]com/?redirect=<url> перенаправляет посетителей на указанный URL-адрес, и любой может изменить этот URL на любой другой сайт, это open redirect.
Обычно злоумышленники используют open redirect’ы для проведения фишинговых атак, распространения малвари или мошенничества. Поскольку URL-адреса размещаются на доверенных доменах, это позволяет хакерам обходить защитные фильтры. Кроме того, поисковые системы индексируют такие перенаправления и отображают их в результатах поиска, что делает редиректы эффективной стратегией для отравления поисковых результатов. То есть доверенный домен используется для повышения рейтинга вредоносных URL по определенным запросам.
Издание Bleeping Computer пишет, что все взломанные экземпляры FCKeditor использовали комбинации статических HTML-страниц и перенаправлений на вредоносные сайты. То есть, статические HTML-страницы открываются под легитимным доменом и используются для отравления поисковой выдачи.
Например, одна из ссылок в Google указывает на экземпляр FCKeditor на сайте aum.edu (Обернский университет в Монтгомери), где HTML-страница выдает себя за новостную статью о новых средствах борьбы с тиннитусом (шум в ушах). На самом деле эта статья предназначена для продвижения других страниц, связанных с взломанным экземпляром FCKeditor, установленном на сайте, и нужна лишь для того, чтобы Google проиндексировал эти страницы. Как только страницы попадут в поисковую выдачу, злоумышленники изменят их, добавив перенаправления на вредоносные сайты.
Другие URL-адреса в этой кампании используют FCKeditor для перенаправления посетителей на мошеннические сайты, фальшивые новостные статьи, фишинговые страницы, фейковые предложения хакерских услуг и вредоносные расширения для браузеров.
Разработчик редактора уже обратил внимание на находку g0njxa и ответил в X, что FCKeditor устарел много лет назад, и никто вообще не должен пользоваться им в 2024 году. Но, к сожалению, нередко на сайтах правительств и образовательных учреждений применяется сильно устаревший софт, поддержка которого прекращена давным-давно.
