Egy hatalmas kampány több mint 4500 WordPress-webhelyet fertőzött meg egy olyan futó művelet részeként, amelyről úgy gondolják, hogy 2017 óta aktív.
A Godadddy,Sucuri tulajdonosa szerint a fertőzések a „track[.]violetlovelines[.]com” domainen tárolt JavaScript befecskendezésével járnak, amely a látogatókat néhány nem kívánt webhelyre irányítja át.
A legutóbbi művelet 2022. december 26-a óta zajlik. Az adatok szerint 2022 decemberének elején egy hullámot észleltek, amely több mint 3600 webhelyet érintett, míg 2022 szeptemberében egy újabb támadást regisztráltak, amelyek több mint 7000 webhelyet csaptak be.
A szélhámos kód a WordPress index.php fájljába került beillesztésre, és a Sucuri megjegyzi, hogy az elmúlt 60 napban több mint 33 000 fájlból eltávolították az ilyen módosításokat a feltört webhelyeken.
Az elmúlt hónapokban ez a rosszindulatú programkampány fokozatosan átváltott a hírhedt hamis CAPTCHA leküldéses értesítések átverő oldalairól fekete „hirdetési hálózatokra”, amelyek váltakoznak a legitim, vázlatos és tisztán rosszindulatú webhelyekre való átirányítás között.
Így amikor a gyanútlan felhasználók az egyik feltört WordPress-oldalra landoltak, egy átirányítási láncot indít el egy forgalomirányító rendszer.
Még aggodalomra ad okot, hogy a Crystal Blocker nevű hirdetésblokkoló webhelyét úgy tervezték, hogy megtévesztő böngészőfrissítési figyelmeztetéseket jelenítsen meg, hogy rávegye a felhasználókat a bővítmény telepítésére a használt webböngészőtől függően.
A böngészőbővítményt több millió felhasználó használja a Google Chrome, a Microsoft Edge és a Mozilla Firefox között.
A bővítmények hirdetésblokkoló funkcióval is rendelkeznek, és nincs garancia arra, hogy biztonságosan használhatók, és nem nyilvános funkciókat tartalmaznak a jelenlegi verzióban vagy a jövőbeli frissítésekben.
Az átirányítások egy része az egyenesen aljas kategóriába is tartozik, ahol a fertőzött webhelyek csatornaként működnek az automatikus letöltések kezdeményezéséhez.
Ez magában foglalja a Discord CDN-ről való lekérést is, mint egy Raccoon Stealer néven ismert információlopó kártevőt, amely számos érzékeny adat kifosztására is képes, például jelszavak, cookie-k, böngészőkből származó automatikus kitöltési adatok és még kriptopénztárcák is.
Az eredmények olyan fenyegetések, amelyek hasonló webhelyeket hoznak létre számos legitim szoftver számára, amelyek lopókat és trójaiakat terjesztenek rosszindulatú hirdetéseken keresztül a Google keresési eredményei között.
A Google azóta közbelépett az átirányítási sémában érintett egyik szélhámos domain blokkolása érdekében, és nem biztonságos webhelynek minősítette, amely nem kívánt vagy rosszindulatú szoftvereket telepít a számítógépekre.
Az ilyen fenyegetések csökkentése érdekében a WordPress webhelytulajdonosoknak általában azt tanácsolják, hogy módosítsák jelszavaikat, frissítsék a telepített témákat és bővítményeket, valamint távolítsák el azokat, amelyeket nem használtak vagy elhagytak a fejlesztők.
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada