27 mars 2025Ravie LakshmananSécurité malveillante / site Web

Une campagne en cours qui infiltre des sites Web légitimes avec des injects de JavaScript malveillant pour promouvoir les plateformes de jeu de langue chinoise a ballonné pour compromettre environ 150 000 sites à ce jour.

“L’acteur de menace a légèrement remanié son interface mais s’appuie toujours sur une injection d’Iframe pour afficher une superposition complète dans le navigateur du visiteur”, a déclaré Himanshu Anand, analyste de la sécurité, C / Side Himanshu Anand dit dans une nouvelle analyse.

Au cours de l’écriture, il y a Plus de 135 800 sites contenant la charge utile JavaScript, par statistiques de publicwww.

Cybersécurité

Comme l’a documenté la société de sécurité du site Web le mois dernier, la campagne consiste à infecter des sites Web avec un JavaScript malveillant conçu pour détourner la fenêtre du navigateur de l’utilisateur pour rediriger les visiteurs du site vers des pages faisant la promotion des plateformes de jeu.

Les redirections se sont révélées via JavaScript hébergé sur cinq domaines différents (par exemple, “Zuizhongyj[.]com “) qui, à leur tour, servent la charge utile principale responsable de l’exécution des redirections.

C / Side a déclaré qu’il a également observé une autre variante de la campagne qui implique d’injecter des scripts et des éléments d’IFRAME dans les sites de paris légitimes de HTML tels que BET365 en utilisant des logos officiels et une marque.

L’objectif final est de servir une superposition complète en utilisant CSS qui fait afficher la page de destination de jeu malveillante lors de la visite de l’un des sites infectés à la place du contenu Web réel.

“Cette attaque montre comment les acteurs de la menace s’adaptent constamment, augmentant leur portée et utilisant de nouvelles couches d’obscurcissement”, a déclaré Anand. “Des attaques côté client comme celles-ci sont en augmentation, avec de plus en plus de résultats chaque jour.”

La divulgation intervient alors que Godaddy a révélé que les détails d’une opération de logiciels malveillants de longue date baptisé Dollyway World Domination qui ont compromis plus de 20 000 sites Web dans le monde depuis 2016. En février 2025, plus de 10 000 sites WordPress uniques ont été victimes du programme.

Plateformes de jeu chinois
Plateformes de jeu chinois

“L’itération actuelle […] cible principalement les visiteurs des sites WordPress infectés via des scripts de redirection injectés qui utilisent un réseau distribué de nœuds de système de direction de la circulation (TDS) hébergés sur des sites Web compromis ” dit.

“Ces scripts redirigent les visiteurs du site vers diverses pages d’escroquerie via des réseaux de courtiers de trafic associés à Vextrio, l’une des plus grandes réseaux d’affiliation cybercriminale connus qui exploitent des techniques DNS sophistiquées, des systèmes de distribution du trafic et des algorithmes de génération de domaine pour fournir des logiciels malices et des escroqueries sur les réseaux mondiaux.”

Les attaques commencent par l’injection d’un script généré dynamiquement dans le site WordPress, redirigeant finalement les visiteurs vers les liens Vextrio ou Lospollos. L’activité aurait également utilisé des réseaux publicitaires comme Hélice pour monétiser le trafic à partir de sites compromis.

Cybersécurité

Les injections malveillantes sur le côté du serveur sont facilitées via le code PHP inséré dans les plugins actifs, tout en prenant des mesures pour désactiver les plugins de sécurité, supprimer les utilisateurs d’administrateur malveillant et siphon les informations d’administration d’administration légitimes pour atteindre leurs objectifs.

Godaddy a depuis révélé que le Dollyway TDS exploite un réseau distribué de sites WordPress compromis en tant que TDS et nœuds de commandement et de contrôle (C2), atteignant 9 à 10 millions d’impressions de pages mensuelles. De plus, les URL de redirection Vextrio se sont avérées être obtenues à partir du Lospollos réseau de courtiers de trafic.

Vers novembre 2024, les opérateurs de Dollyway auraient supprimé plusieurs de leurs serveurs C2 / TDS, le script TDS obtenant les URL de redirection à partir d’un canal télégramme nommé TrafficRirect.

“La perturbation de la relation de Dollyway avec Lospollos marque un tournant important dans cette campagne de longue durée”, Sinegubko noté. “Alors que les opérateurs ont démontré une adaptabilité remarquable en transitionnant rapidement vers des méthodes de monétisation du trafic alternatives, les changements d’infrastructure rapides et les pannes partielles suggèrent un certain niveau d’impact opérationnel.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57