Una campaña masiva ha infectado más de 4500 sitios web de WordPress como parte de una operación de larga duración que se cree que está activa desde al menos 2017.
Según Sucuri, propiedad de GoDaddy, las infecciones involucran la inyección de JavaScript ofuscado alojado en un dominio malicioso llamado «track[.]violetlovelines[.]com» que está diseñado para redirigir a los visitantes a sitios no deseados.
Lo último operación se dice que ha estado activo desde el 26 de diciembre de 2022, según datos de urlscan.io. Una ola anterior vista en principios de diciembre de 2022 afectó a más de 3.600 sitios, mientras que otra serie de ataques registrados en septiembre 2022 atrapó más de 7.000 sitios.
El código malicioso se inserta en el archivo index.php de WordPress, y Sucuri señala que ha eliminado dichos cambios de más de 33,000 archivos en los sitios comprometidos en los últimos 60 días.
«En los últimos meses, esta campaña de malware ha pasado gradualmente de las notorias páginas falsas de estafa de notificaciones push de CAPTCHA a ‘redes publicitarias’ de sombrero negro que alternan entre redireccionamientos a sitios web legítimos, incompletos y puramente maliciosos», dijo el investigador de Sucuri, Denis Sinegubko. dicho.
Por lo tanto, cuando los usuarios desprevenidos llegan a uno de los sitios de WordPress pirateados, se activa una cadena de redirección por medio de un sistema de dirección de tráfico, que lleva a las víctimas a páginas que muestran anuncios incompletos sobre productos que, irónicamente, bloquean los anuncios no deseados.
Aún más preocupante, el sitio web de uno de esos bloqueadores de anuncios llamado Crystal Blocker está diseñado para mostrar alertas engañosas de actualización del navegador para engañar a los usuarios para que instalen su extensión según el navegador web utilizado.
La extensión del navegador es utilizada por casi 110.000 usuarios que abarcan Google Chrome (60,000+), Borde de Microsoft (40,000+), y Mozilla Firefox (8,635).
«Y si bien las extensiones tienen una función de bloqueo de anuncios, no hay garantía de que sean seguras de usar, y pueden contener funciones no reveladas en la versión actual o en futuras actualizaciones», explicó Sinegubko.
Algunos de los redireccionamientos también caen en la categoría absolutamente nefasta, con los sitios web infectados actuando como un conducto para iniciar descargas ocultas.
Esto también incluye recuperar de Discord CDN un malware de robo de información conocido como Raccoon Stealer, que es capaz de saquear datos confidenciales como contraseñas, cookies, datos de autocompletado de navegadores y billeteras criptográficas.
Los hallazgos se producen cuando los actores de amenazas están configurando sitios web similares para una variedad de software legítimo para distribuir ladrones y troyanos a través de anuncios maliciosos en los resultados de búsqueda de Google.
Desde entonces, Google ha intervenido para bloquear uno de los dominios rogue involucrado en el esquema de redirección, clasificándolo como un sitio inseguro que instala «software no deseado o malicioso en las computadoras de los visitantes».
Para mitigar tales amenazas, se recomienda a los propietarios de sitios de WordPress que cambien las contraseñas y actualicen la instalación. temas y complementos así como eliminar aquellos que estén sin usar o abandonados por sus desarrolladores.