Sucuri的網絡安全研究人員發現了一場大規模的活動,該活動通過在wordPress/ target=_blank class=infotextkey>WordPress網站注入惡意JAVAScript代碼將訪問者重定向到詐騙內容,從而導致數千個WordPress網站遭破壞。感染會自動將站點的訪問者重定向到包含惡意內容,即網絡釣魚頁面、惡意軟件下載、詐騙頁面或商業網站的第三方網站,以產生非法流量。這些網站都有一個共同的問題——惡意JavaScript被注入到他們網站的文件和數據庫中,包括合法的核心WordPress文件,例如:
- ./wp-includes/js/jquery/jquery.min.js
- ./wp-includes/js/jquery/jquery-migrate.min.js “
根據Sucuri的分析,一旦網站遭到入侵,攻擊者就試圖自動感染名稱中包含jQuery的任何js文件。他們注入了以“/* trackmyposs*/eval(String.fromCharCode…”開頭的代碼…… ”
在某些攻擊中,用戶被重定向到包含CAPTCHA 檢查的登錄頁面。點擊假驗證碼后,即使網站未打開,他們也會被迫接收垃圾廣告,這些廣告看起來像是從操作系統生成的,而不是從瀏覽器生成的。
據Sucuri稱,至少有322個網站因這波新的攻擊而受到影響,它們將訪問者重定向到惡意網站drakefollow[.]com。“他表示:“我們的團隊發現從2022年5月9日開始,這一針對WordPress網站的大規模活動收到了大量用戶投訴,在撰寫本文時該活動已經影響了數百個網站。目前已經發現攻擊者正在針對WordPress插件和主題中的多個漏洞來破壞網站并注入他們的惡意腳本。我們預計,一旦現有域名被列入黑名單,黑客將繼續為正在進行的活動注冊新域名。”
對此,Sucuri也表示網站管理員可以使用他們免費的遠程網站掃描儀檢查網站是否已被入侵。
參考來源:
https://securityaffairs.co/wordpress/131202/hacking/wordpress-websites-hacking-campaign.html
