作为自 2017 年以来一直活跃的运行操作的一部分,一场大规模的活动已经感染了 4,500 多个 WordPress 网站。
据 Godaddy 的所有者称,Sucuri 感染涉及注入托管在名为“track[.]violetlovelines[.]com”的域上的 JavaScript,旨在将访问者重定向到一些不需要的网站。
最新的行动自 2022 年 12 月 26 日开始。根据数据,2022 年 12 月上旬出现了一波攻击,影响了 3,600 多个站点,而 2022 年 9 月记录了另一组攻击,诱捕了 7,000 多个站点。
流氓代码被插入到 WordPress index.php 文件中,并且 Sucuri 指出,在过去 60 天内,它已从受感染网站上的 33,000 多个文件中删除了此类更改。
最近几个月,这种恶意软件活动也逐渐从臭名昭著的虚假验证码推送通知诈骗页面转变为在重定向到合法、粗略和纯恶意网站之间交替的黑色“广告网络”。
因此,当毫无戒心的用户登陆其中一个被黑客入侵的 WordPress 网站时,重定向链会通过流量定向系统触发。
更令人不安的是,此类名为 Crystal Blocker 的广告拦截器的网站被设计为显示一些误导性的浏览器更新警报,以诱使用户根据所使用的网络浏览器安装其扩展程序。
Google Chrome、Microsoft Edge 和 Mozilla Firefox 的数十万用户使用该浏览器扩展程序。
并且扩展程序具有广告拦截功能,不能保证它们可以安全使用,并且在当前版本或未来的更新中包含未公开的功能。
一些重定向也属于彻头彻尾的恶意类别,其中受感染的网站充当启动偷渡式下载的渠道。
这还包括从 Discord CDN 检索信息窃取恶意软件,称为 Raccoon Stealer,它还能够窃取许多敏感数据,例如密码、cookie、来自浏览器的自动填充数据,甚至是加密钱包。
这些发现来自于为各种合法软件建立相似网站的威胁,这些合法软件通过谷歌搜索结果中的恶意广告传播窃取程序和特洛伊木马。
谷歌此后介入阻止了重定向方案中涉及的流氓域之一,并将其归类为在计算机上安装不需要的或恶意软件的不安全站点。
为了减少此类威胁,通常建议 WordPress 网站所有者更改密码并更新已安装的主题和插件,并删除那些未使用或被开发人员放弃的主题和插件。