En massiv kampagne har inficeret over 4,500 WordPress-websteder som en del af en langvarig operation, der menes at være aktiv siden mindst 2017.
Ifølge GoDaddy-ejede Sucuri, infektioner involverer injektion af tilsløret JavaScript hostet på et ondsindet domæne med navnet “spor [.] violetlovelines[.] com”, der er designet til at omdirigere besøgende til uønskede websteder.
Den seneste operation siges at have været i gang siden 26. december 2022, ifølge data fra urlscan.io. En tidligere bølge set i begyndelsen af december 2022 påvirkede mere end 3,600 websteder, mens et andet sæt angreb registreret i september 2022 fangede mere end 7,000 websteder .
Den useriøse kode indsættes i WordPress-indekset.php filen, hvor Sucuri bemærker, at den har fjernet sådanne ændringer fra mere end 33,000 filer på de kompromitterede websteder i de sidste 60 dage.
“I de seneste måneder har denne malware-kampagne gradvist skiftet fra de berygtede falske CAPTCHA-push-meddelelsesfidussider til black hat ‘annoncenetværk’, der veksler mellem omdirigeringer til legitime, skitserede og rent ondsindede websteder,” sagde Sucuri-forsker Denis Sinegubko.
Når intetanende brugere lander på et af de hackede WordPress-websteder, udløses en omdirigeringskæde ved hjælp af et trafikretningssystem, der lander ofrene på sider, der viser skitserede annoncer om produkter, der ironisk nok blokerer uønskede annoncer.
Endnu mere bekymrende er webstedet for en sådan annonceblokering ved navn Crystal Blocker konstrueret til at vise vildledende browseropdateringsadvarsler for at narre brugerne til at installere dens udvidelse afhængigt af den anvendte webbrowser.
Browserudvidelsen bruges af næsten 110,000 brugere, der spænder over Google Chrome (60,000+), Microsoft Edge (40,000+) og Mozilla Firefox (8,635).
“Og selvom udvidelserne faktisk har annonceblokeringsfunktionalitet, er der ingen garanti for, at de er sikre at bruge – og kan indeholde ikke-afslørede funktioner i den aktuelle version eller i fremtidige opdateringer,” forklarede Sinegubko.
Nogle af omdirigeringerne falder også ind i den direkte forbryderiske kategori, hvor de inficerede websteder fungerer som en kanal til at starte drive-by-downloads.
Dette inkluderer også hentning fra Discord CDN en informationsstjælende malware kendt som Raccoon Stealer, som er i stand til at plyndre følsomme data såsom adgangskoder, cookies, autofylddata fra browsere og krypto-tegnebøger.
Resultaterne kommer, da trusselsaktører opretter kopiwebsteder til en række legitime software til at distribuere stjælere og trojanske heste gennem ondsindede annoncer i Googles søgeresultater.
Google er siden trådt ind for at blokere et af de useriøse domæner, der er involveret i omdirigeringsordningen, og klassificerer det som et usikkert websted, der installerer “uønsket eller ondsindet software på besøgendes computere.”
For at afbøde sådanne trusler rådes WordPress-webstedsejere til at ændre adgangskoder og opdatere installerede temaer og plugins samt fjerne dem, der er ubrugte eller forladte af deres udviklere.
Kilde: TheHackerNews
Foto: Pexels