Prema Sucuri-ju, kompaniji koja se bavi zaštitom GoDaddi hostinga, zaraze uključuju ubrizgavanje prikrivenog JavaScript-a koji se nalazi na zlonamernom domenu pod nazivom „track[.]violetlovelines[.]com“ koji je dizajniran da preusmeri posetioce na neželjene sajtove.

Rečeno je da je poslednji napad zabeležen 26. decembra 2022, prema podacima urlscan.io.

Poslednji talas napada koji je viđen decembra 2022. uticao je na više od 3.600 lokacija, dok je prethodni niz napada zabeležen u septembru 2022.godine i zarazio više od 7.000 lokacija. Lažni kod je umetnut u datoteku WordPress indek.php, pri čemu je Sucuri napomenuo da je uklonio takve promene iz više od 33.000 datoteka na ugroženim sajtovima u poslednjih 60 dana.

„Poslednjih meseci, ova akcija zlonamernog softvera se postepeno prebacila sa ozloglašenih lažnih stranica sa CAPTCHA push obaveštenjima za black hat 'reklamne mreže' koje se naizmenično preusmeravaju na legitimne, privremene i čisto zlonamerne veb-sajtove“, rekao je istraživač Sucurija Denis Sinegubko.

Stoga, kada nesuđeni korisnici dođu na jednu od hakovanih WordPress sajtova, lanac preusmeravanja se pokreće pomoću sistema za usmeravanje saobraćaja, dovodeći žrtve na stranice na kojima se prikazuju zlonamerni oglasi o proizvodima koji blokiraju neželjene oglase.

Što je još više zabrinjavajuće, veb lokacija za jedan takav blokator oglasa pod nazivom Cristal Blocker je dizajnirana da prikazuje obmanjujuća upozorenja o ažuriranju pretraživača kako bi prevarila korisnike da instaliraju njegovo proširenje u zavisnosti od korišćenog veb pretraživača. Ekstenzija pretraživača koristi skoro 110.000 korisnika koji obuhvataju Google Chrome (60.000+), Microsoft Edge (40.000+) i Mozilla Firefoks (8.635).

„I dok ekstenzije zaista imaju funkciju blokiranja oglasa, ne postoji garancija da su bezbedne za korišćenje — i da mogu da sadrže neotkrivene funkcije u trenutnoj verziji ili u budućim ažuriranjima“, objasnio je Sinegubko.

Neka od preusmeravanja takođe spadaju u potpuno zlobnu kategoriju, u kojoj zaražene veb lokacije deluju kao kanal za pokretanje preuzimanja. Ovo takođe uključuje preuzimanje sa Discord CDN-a malvera za krađu informacija poznatog kao Raccoon Stealer, koji je sposoban da pljačka osetljive podatke kao što su lozinke, kolačići, podaci za automatsko popunjavanje iz pretraživača i kripto novčanici. Nalazi dolaze kada akteri pretnji postavljaju veb-sajtove koji su slični za razne legitimne softvere za distribuciju kradljivaca i trojanaca putem zlonamernih oglasa u rezultatima Google pretrage. Google se od tada uključio da blokira jedan od lažnih domena uključenih u šemu preusmeravanja, klasifikujući ga kao nebezbednu lokaciju koja instalira „neželjeni ili zlonamerni softver na računare posetilaca“.

Da bi ublažili takve pretnje, vlasnicima WordPress sajtova se savetuje da promene lozinke,skeniraju svoje sajtove na maliciozne skripte i ažuriraju instalirane teme i dodatke, kao i da uklone one dodakte I module koje programeri više ne koriste ili se ne održavaju.

Izvor: thehackernews.com