Масштабна кампанія заразила понад 4500 веб-сайтів WordPress у рамках поточної операції, яка, як вважають, була активною з 2017 року.
За словами власника Godadddy, Sucuri зараження включає ін’єкцію JavaScript, розміщеного на домені під назвою “track[.]violetlovelines[.]com, який призначений для перенаправлення відвідувачів на деякі небажані сайти.
Остання операція триває з 26 грудня 2022 року. Згідно з даними, на початку грудня 2022 року була помічена хвиля, яка вплинула на понад 3600 сайтів, тоді як у вересні 2022 року було зафіксовано ще одну серію атак, які охопили понад 7000 сайтів.
Зловмисний код вставляється у файл WordPress index.php, а Sucuri зазначає, що за останні 60 днів було видалено такі зміни з понад 33 000 файлів на скомпрометованих сайтах.
Останніми місяцями ця кампанія зловмисного програмного забезпечення поступово також переключилася з сумнозвісних фальшивих сторінок шахрайства з push-повідомленнями CAPTCHA на чорні «рекламні мережі», які чергують перенаправлення на законні, неоднозначні та суто шкідливі веб-сайти.
Таким чином, коли нічого не підозрюють користувачі потрапляють на один із зламаних сайтів WordPress, на якому за допомогою системи спрямування трафіку запускається ланцюжок перенаправлення.
Навіть тривожно те, що веб-сайт для такого блокувальника реклами під назвою Crystal Blocker розроблено для відображення деяких сповіщень про оновлення веб-переглядача, що вводять в оману, щоб обманом змусити користувачів установити своє розширення залежно від використовуваного веб-браузера.
Розширенням для браузера користується тисяча користувачів у Google Chrome, Microsoft Edge і Mozilla Firefox.
Крім того, розширення мають функцію блокування реклами, і немає гарантії, що вони безпечні у використанні та містять нерозголошені функції в поточній версії або в майбутніх оновленнях.
Деякі з перенаправлень також належать до відверто мерзенної категорії, яка включає заражені веб-сайти, які діють як канали для ініціювання миттєвих завантажень.
Це також включає отримання з Discord CDN як зловмисного програмного забезпечення, відомого як Raccoon Stealer, яке викрадає інформацію, яке також здатне викрадати багато конфіденційних даних, таких як паролі, файли cookie, дані автозаповнення з браузерів і навіть крипто-гаманці.
Висновки прийшли як загрози, які створюють схожі веб-сайти для різноманітного законного програмного забезпечення, яке розповсюджує крадіжки та трояни через зловмисну рекламу в результатах пошуку Google.
З тих пір Google втрутився, щоб заблокувати один із шахрайських доменів, які брали участь у схемі перенаправлення, а також класифікував його як небезпечний сайт, який встановлює небажане або шкідливе програмне забезпечення на комп’ютери.
Щоб зменшити такі загрози, власникам сайтів WordPress зазвичай рекомендують змінити паролі та оновити встановлені теми та плагіни, а також видалити ті, які не використовуються або покинули їхні розробники.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada