Eine massive Kampagne hat im Rahmen einer laufenden Operation, von der angenommen wird, dass sie seit 2017 aktiv ist, mehr als 4.500 WordPress-Websites infiziert.
Laut dem Eigentümer von Godadddy, Sucuri beinhalten die Infektionen die Injektion eines JavaScripts, das auf der Domain „track[.]violetlovelines[.]com“ gehostet wird und dazu dient, Besucher auf einige unerwünschte Websites umzuleiten.
Die jüngste Operation ist seit dem 26. Dezember 2022 im Gange. Daten zufolge wurde Anfang Dezember 2022 eine Welle beobachtet, die über 3.600 Websites betraf, während im September 2022 eine weitere Reihe von Angriffen verzeichnet wurde, die mehr als 7.000 Websites erfassten.
Der Rogue-Code wird in die WordPress-Datei index.php eingefügt, und Sucuri weist darauf hin, dass solche Änderungen in den letzten 60 Tagen aus mehr als 33.000 Dateien auf kompromittierten Websites entfernt wurden.
In den letzten Monaten hat diese Malware-Kampagne auch nach und nach von berüchtigten gefälschten CAPTCHA-Push-Benachrichtigungs-Betrugsseiten zu schwarzen „Werbenetzwerken“ gewechselt, die zwischen Weiterleitungen auf legitime, skizzenhafte und rein bösartige Websites wechseln.
Wenn also ahnungslose Benutzer auf einer der gehackten WordPress-Sites gelandet sind, wird eine Weiterleitungskette mithilfe eines Verkehrsleitsystems ausgelöst.
Noch beunruhigender ist, dass die Website für einen solchen Werbeblocker namens Crystal Blocker so konstruiert ist, dass sie einige irreführende Browser-Update-Warnungen anzeigt, um die Benutzer dazu zu verleiten, ihre Erweiterung je nach verwendetem Webbrowser zu installieren.
Die Browsererweiterung wird von vielen Benutzern verwendet, die Google Chrome, Microsoft Edge und Mozilla Firefox umfassen.
Und die Erweiterungen verfügen über eine Werbeblockerfunktion und es gibt keine Garantie dafür, dass sie sicher zu verwenden sind und nicht offengelegte Funktionen in der aktuellen Version oder in zukünftigen Updates enthalten.
Einige der Weiterleitungen fallen auch in die geradezu ruchlose Kategorie, bei der es sich um infizierte Websites handelt, die als Kanal für die Initiierung von Drive-by-Downloads dienen.
Dazu gehört auch das Abrufen von Discord CDN als informationsstehlende Malware namens Raccoon Stealer, die auch viele sensible Daten wie Passwörter, Cookies, Autofill-Daten von Browsern und sogar Krypto-Wallets plündern kann.
Die Ergebnisse stellen Bedrohungen dar, die Lookalike-Websites für eine Vielzahl legitimer Software einrichten, die Stealer und Trojaner über böswillige Anzeigen in den Google-Suchergebnissen verbreiten.
Google ist seitdem eingeschritten, um eine der Rogue-Domains zu blockieren, die an dem Umleitungsschema beteiligt waren, und sie auch als unsichere Website zu klassifizieren, die unerwünschte oder bösartige Software auf Computern installiert.
Um solche Bedrohungen zu reduzieren, wird WordPress-Site-Eigentümern normalerweise empfohlen, Passwörter zu ändern und installierte Themen und Plugins zu aktualisieren und auch diejenigen zu entfernen, die nicht verwendet oder von ihren Entwicklern aufgegeben wurden.
Deutsch 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada