Eine massive Kampagne hat mehr als 4.500 WordPress-Websites infiziert, als Teil einer lang laufenden Operation, die vermutlich seit mindestens 2017 aktiv ist.
Laut dem zu GoDaddy gehörenden Unternehmen Sucuri beinhalten die Infektionen die Injektion von verschleiertem JavaScript, das auf einer bösartigen Domain namens „track“ gehostet wird.[.]violetlovelines[.]com“, die Besucher auf unerwünschte Websites umleiten soll.
Den Daten von urlscan.io zufolge soll die jüngste Operation seit dem 26. Dezember 2022 aktiv sein. Eine frühere Welle, die Anfang Dezember 2022 beobachtet wurde, betraf mehr als 3.600 Websites, während eine andere Reihe von Angriffen, die im September 2022 aufgezeichnet wurden, mehr als 7.000 Websites betraf.
Der bösartige Code wird in die Datei index.php von WordPress eingefügt. Sucuri stellt fest, dass es in den letzten 60 Tagen solche Änderungen aus mehr als 33.000 Dateien auf den angegriffenen Websites entfernt hat.
„In den letzten Monaten ist diese Malware-Kampagne allmählich von den berüchtigten gefälschten CAPTCHA-Push-Benachrichtigungs-Betrugsseiten zu Black-Hat-‚Werbenetzwerken‘ übergegangen, die abwechselnd auf legitime, skizzenhafte und rein bösartige Websites weiterleiten“, so Sucuri-Forscher Denis Sinegubko.
Wenn ahnungslose Benutzer auf einer der gehackten WordPress-Seiten landen, wird eine Umleitungskette mit Hilfe eines Verkehrsleitsystems ausgelöst, die die Opfer auf Seiten weiterleitet, auf denen zweifelhafte Werbung für Produkte angezeigt wird, die ironischerweise unerwünschte Werbung blockieren.
Noch beunruhigender ist, dass die Website für einen solchen Werbeblocker namens Crystal Blocker so gestaltet ist, dass sie irreführende Browser-Update-Warnungen anzeigt, um die Benutzer zur Installation der Erweiterung je nach verwendetem Webbrowser zu verleiten.
Die Browsererweiterung wird von fast 110.000 Nutzern von Google Chrome (60.000+), Microsoft Edge (40.000+) und Mozilla Firefox (8.635) verwendet.
„Und obwohl die Erweiterungen in der Tat Werbeblocker-Funktionen haben, gibt es keine Garantie dafür, dass sie sicher zu verwenden sind – und sie können in der aktuellen Version oder in zukünftigen Updates nicht offengelegte Funktionen enthalten“, erklärte Sinegubko.
Einige der Weiterleitungen fallen auch in die Kategorie „bösartig“, wobei die infizierten Websites als Kanal für Drive-by-Downloads dienen.
Dazu gehört auch das Abrufen einer als Raccoon Stealer bekannten Malware von Discord CDN, die in der Lage ist, sensible Daten wie Passwörter, Cookies, Autofill-Daten von Browsern und Krypto-Wallets zu erbeuten.
Die Erkenntnisse kommen zu einem Zeitpunkt, zu dem Bedrohungsakteure ähnliche Websites für eine Vielzahl legitimer Software einrichten, um Stealer und Trojaner über bösartige Anzeigen in Google-Suchergebnissen zu verbreiten.
Google hat sich inzwischen eingeschaltet und eine der an der Umleitung beteiligten betrügerischen Domains gesperrt und als unsichere Website eingestuft, die „unerwünschte oder bösartige Software auf den Computern der Besucher“ installiert.
Um solche Bedrohungen zu entschärfen, wird den Inhabern von WordPress-Websites empfohlen, ihre Passwörter zu ändern und die installierten Themes und Plugins zu aktualisieren sowie diejenigen zu entfernen, die von ihren Entwicklern nicht verwendet oder aufgegeben wurden.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Ticketmaster behauptet, dass ein Bot-Angriff den Verkauf der Taylor Swift Tour gestört hat