Cybersecurity-onderzoekers hebben een enorme campagne onthuld die verantwoordelijk is voor het injecteren van kwaadaardige JavaScript-code in gecompromitteerde WordPress-websites die bezoekers omleidt naar oplichtingspagina’s en andere kwaadaardige websites om onwettig verkeer te genereren.
“De websites deelden allemaal een gemeenschappelijk probleem: kwaadaardig JavaScript was geïnjecteerd in de bestanden van hun website en de database, inclusief legitieme WordPress-kernbestanden”, zegt Krasimir Konov, een malware-analist bij Sucuri, zei in een woensdag gepubliceerd rapport.
Dit omvatte het infecteren van bestanden zoals jquery.min.js en jquery-migrate.min.js met versluierd JavaScript dat wordt geactiveerd bij elke pagina die wordt geladen, waardoor de aanvaller de websitebezoekers kan omleiden naar een bestemming van hun keuze.
Het websitebeveiligingsbedrijf van GoDaddy zei dat de domeinen aan het einde van de omleidingsketen kunnen worden gebruikt om advertenties, phishing-pagina’s, malware te laden of zelfs een andere reeks omleidingen te activeren.
In sommige gevallen worden nietsvermoedende gebruikers naar een frauduleuze omleidings-bestemmingspagina geleid die een valse CAPTCHA-controle bevat, waarop wordt geklikt, waardoor ongewenste advertenties worden weergegeven die vermomd zijn alsof ze afkomstig zijn van het besturingssysteem en niet van een webbrowser.
De campagne – een voortzetting van een andere golf die vorige maand werd gedetecteerd – zou beïnvloed 322 websites tot nu toe, vanaf 9 mei. De aanslagen van april daarentegen hebben meer dan 6.500 websites geschonden.
“Er is vastgesteld dat aanvallers zich richten op meerdere kwetsbaarheden in WordPress-plug-ins en -thema’s om de website te compromitteren en hun kwaadaardige scripts te injecteren”, zei Konov.
