Sikkerhedsforskere har identificeret en ondsindet kampagne mod WordPress-websteder. Kampagnen bruger kendte sårbarheder i WordPress-temaer og plugins, og har påvirket tusindvis af websteder.
Ondsindet kampagne kompromitterer WordPress-websteder: detaljerne
Ifølge data delt af PublicWWW, i det mindste 6,000 steder blev inficeret alene i april. Men, da PublicWWW-dataene kun viser detektioner for simple script-injektioner, Sucuri-forskere mener, at kampagnens omfang er "betydeligt større".
Undersøgelsen blev indledt af ejere af WordPress-websteder, der klagede over uønskede omdirigeringer. Disse omdirigeringer viste sig at være forbundet med en ny bølge af denne tidligere kendte massive operation, og omdirigerede besøgende på webstedet via adskillige omdirigeringer for at vise dem uønskede annoncer.
Ifølge Sucuris undersøgelse, alle disse WordPress-websteder led af et almindeligt problem – ondsindet JavaScript injiceret i webstedernes filer og databasen, inklusive legitime kerne WP-filer, såsom:
./wp-includes/js/jquery/jquery.min.js
./wp-includes/js/jquery/jquery-migrate.min.js
Dette kunne gøre det muligt for angriberen at omdirigere besøgende til enhver onlinedestination. Slutningen af omdirigeringskæden kunne indlæse annoncer, phishing-sider, eller endda malware. Det kan også starte et andet sæt påtrængende omdirigeringer, forskerne sagde.
For eksempel, en sådan side findes i slutningen af omdirigeringskæden, narre brugere til at abonnere på push-meddelelser. Det involverede en falsk CAPTCHA. Efter aftale, brugere ville blive oversvømmet med annoncer. Disse annoncer ville se ud som om de kommer fra operativsystemet, ikke browseren, forskerne sagde.
Dette er en fantastisk illustration af hvordan browser-omdirigeringer kan vise sig at være ondsindede. Vi skriver dagligt om sådanne trusler, der beder brugerne om at acceptere at modtage push-beskeder.
"I skrivende stund, PublicWWW har rapporteret 322 websteder påvirket af denne nye bølge for den ondsindede drakefollow[.]com domæne. I betragtning af, at denne optælling ikke inkluderer sløret malware eller websteder, der endnu ikke er blevet scannet af PublicWWW, det faktiske antal berørte websteder er sandsynligvis meget højere,"Sucuri indgået.