Играешь в игры, а твой профиль ломает сайты. Хакеры нашли гениальное применение Steam
NewsMakerСледы атаки месяцами оставались на виду, но никто их не замечал.
Злоумышленники нашли необычный способ скрывать управляющую инфраструктуру вредоносного ПО, используя популярную игровую платформу. Вместо собственных серверов для связи с заражёнными сайтами атакующие размещали зашифрованные команды в комментариях профилей Steam, превращая обычные страницы сообщества в часть скрытой сети управления.
Специалисты GoDaddy Security обнаружили вредоносную кампанию, нацеленную на сайты под управлением WordPress . По данным компании, заражение затронуло около 1980 ресурсов. Активность впервые зафиксировали в июле 2025 года.
Вредоносный код выполняет две основные задачи. Первая связана с внедрением сторонних JavaScript-файлов на страницы сайтов. Вторая представляет собой полноценный бэкдор, позволяющий удалённо изменять файлы тем оформления и плагинов, сохраняя контроль над системой даже после частичной очистки.
Для получения команд заражённые сайты обращаются к профилям Steam Community и извлекают содержимое комментариев. На первый взгляд такие сообщения выглядят безобидно, однако внутри скрываются данные, закодированные с помощью невидимых символов Unicode . Пользователь не видит никаких подозрительных элементов, но вредоносное ПО способно расшифровать скрытую информацию и превратить её в команды управления.
Дополнительную защиту злоумышленникам обеспечивает криптография. Авторы кампании применили алгоритм AES-256-CTR, механизм выработки ключей PBKDF2 и проверку целостности через HMAC. Такая комбинация затрудняет анализ содержимого и позволяет скрывать реальные адреса управляющих узлов.
После декодирования вредоносная программа формирует URL и подключает внешний JavaScript под видом обычных библиотек. Во время анализа специалисты зафиксировали загрузку файла с домена hello-mywordl.info. Поддельные названия скриптов имитировали распространённые компоненты веб-разработки, что помогало избегать подозрений.
Особую опасность представляет встроенный механизм удалённого выполнения кода. При получении специального запроса с определёнными cookie бэкдор может принимать PHP-код, закодированный в Base64, а затем заменять им существующие фрагменты в темах и плагинах WordPress. Такой подход позволяет быстро обновлять вредоносные модули без повторного взлома сайта.
Для сокрытия активности используются дополнительные методы маскировки. В коде присутствуют случайно сгенерированные названия функций, строки записаны в закодированном виде, а часть логики представляет собой фиктивные элементы, создающие видимость отладочных механизмов. Кроме того, вредоносное ПО активно использует штатные функции WordPress, благодаря чему его действия напоминают работу обычных расширений.
Авторы отчёта полагают, что заражение происходило через украденные учётные данные администраторов, скомпрометированные FTP- и SFTP-доступы, уязвимые плагины либо заражённые сторонние компоненты. Для обнаружения угрозы рекомендуется проверять наличие обращений к Steam Community со стороны серверов WordPress, искать следы невидимых Unicode-символов в коде и анализировать подозрительные подключения к внешним доменам.
Злоумышленники нашли необычный способ скрывать управляющую инфраструктуру вредоносного ПО, используя популярную игровую платформу. Вместо собственных серверов для связи с заражёнными сайтами атакующие размещали зашифрованные команды в комментариях профилей Steam, превращая обычные страницы сообщества в часть скрытой сети управления.
Специалисты GoDaddy Security обнаружили вредоносную кампанию, нацеленную на сайты под управлением WordPress . По данным компании, заражение затронуло около 1980 ресурсов. Активность впервые зафиксировали в июле 2025 года.
Вредоносный код выполняет две основные задачи. Первая связана с внедрением сторонних JavaScript-файлов на страницы сайтов. Вторая представляет собой полноценный бэкдор, позволяющий удалённо изменять файлы тем оформления и плагинов, сохраняя контроль над системой даже после частичной очистки.
Для получения команд заражённые сайты обращаются к профилям Steam Community и извлекают содержимое комментариев. На первый взгляд такие сообщения выглядят безобидно, однако внутри скрываются данные, закодированные с помощью невидимых символов Unicode . Пользователь не видит никаких подозрительных элементов, но вредоносное ПО способно расшифровать скрытую информацию и превратить её в команды управления.
Дополнительную защиту злоумышленникам обеспечивает криптография. Авторы кампании применили алгоритм AES-256-CTR, механизм выработки ключей PBKDF2 и проверку целостности через HMAC. Такая комбинация затрудняет анализ содержимого и позволяет скрывать реальные адреса управляющих узлов.
После декодирования вредоносная программа формирует URL и подключает внешний JavaScript под видом обычных библиотек. Во время анализа специалисты зафиксировали загрузку файла с домена hello-mywordl.info. Поддельные названия скриптов имитировали распространённые компоненты веб-разработки, что помогало избегать подозрений.
Особую опасность представляет встроенный механизм удалённого выполнения кода. При получении специального запроса с определёнными cookie бэкдор может принимать PHP-код, закодированный в Base64, а затем заменять им существующие фрагменты в темах и плагинах WordPress. Такой подход позволяет быстро обновлять вредоносные модули без повторного взлома сайта.
Для сокрытия активности используются дополнительные методы маскировки. В коде присутствуют случайно сгенерированные названия функций, строки записаны в закодированном виде, а часть логики представляет собой фиктивные элементы, создающие видимость отладочных механизмов. Кроме того, вредоносное ПО активно использует штатные функции WordPress, благодаря чему его действия напоминают работу обычных расширений.
Авторы отчёта полагают, что заражение происходило через украденные учётные данные администраторов, скомпрометированные FTP- и SFTP-доступы, уязвимые плагины либо заражённые сторонние компоненты. Для обнаружения угрозы рекомендуется проверять наличие обращений к Steam Community со стороны серверов WordPress, искать следы невидимых Unicode-символов в коде и анализировать подозрительные подключения к внешним доменам.