Масштабная кампания заразила более 4500 веб-сайтов WordPress в рамках текущей операции, которая, как считается, активна с 2017 года.
По словам владельца Godadddy Сукури, заражение связано с внедрением JavaScript, размещенного в домене с именем «track[.]violetlovelines[.]com, который предназначен для перенаправления посетителей на некоторые нежелательные сайты.
Последняя операция проводится с 26 декабря 2022 года. Согласно данным, в начале декабря 2022 года наблюдалась волна, затронувшая более 3600 сайтов, а в сентябре 2022 года была зарегистрирована еще одна серия атак, охватившая более 7000 сайтов.
Мошеннический код вставлен в файл WordPress index.php, и Sucuri отмечает, что за последние 60 дней такие изменения были удалены из более чем 33 000 файлов на скомпрометированных сайтах.
В последние месяцы эта вредоносная кампания также постепенно перешла от печально известных поддельных мошеннических страниц с push-уведомлениями CAPTCHA к черным «рекламным сетям», которые чередуют перенаправления на законные, схематичные и чисто вредоносные веб-сайты.
Таким образом, когда ничего не подозревающие пользователи попадают на один из взломанных сайтов WordPress, цепочка перенаправлений запускается с помощью системы направления трафика.
Даже беспокоит то, что веб-сайт такого блокировщика рекламы под названием Crystal Blocker спроектирован таким образом, чтобы отображать некоторые вводящие в заблуждение предупреждения об обновлении браузера, чтобы заставить пользователей установить свое расширение в зависимости от используемого веб-браузера.
Расширение для браузера используется тысячами пользователей, включая Google Chrome, Microsoft Edge и Mozilla Firefox.
Кроме того, у расширений есть функция блокировки рекламы, и нет никакой гарантии, что они безопасны для использования и содержат нераскрытые функции в текущей версии или в будущих обновлениях.
Некоторые из перенаправлений также попадают в откровенно гнусную категорию, в которой зараженные веб-сайты действуют как канал для инициирования загрузок.
Это также включает в себя извлечение из CDN Discord в качестве вредоносного ПО для кражи информации, известного как Raccoon Stealer, которое также способно похищать многие конфиденциальные данные, такие как пароли, файлы cookie, данные автозаполнения из браузеров и даже криптокошельки.
Выводы представляют собой угрозы, которые создают похожие веб-сайты для различных законных программ, которые распространяют стилеры и трояны через вредоносную рекламу в результатах поиска Google.
С тех пор Google вмешался, чтобы заблокировать один из мошеннических доменов, которые участвовали в схеме перенаправления, а также классифицировал его как небезопасный сайт, который устанавливает нежелательное или вредоносное программное обеспечение на компьютеры.
Чтобы уменьшить такие угрозы, владельцам сайтов WordPress обычно рекомендуется менять пароли и обновлять установленные темы и плагины, а также удалять те, которые не используются или заброшены их разработчиками.
Русский 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada