Sicherheitsforscher haben eine bösartige Kampagne gegen WordPress-Seiten identifiziert. Die Kampagne nutzt bekannte Schwachstellen in WordPress-Themes und Plugins, und hat Tausende von Websites betroffen.
Schädliche Kampagne kompromittiert WordPress-Sites: die Details
Nach Angaben von PublicWWW, mindestens 6,000 Websites wurden allein im April infiziert. Jedoch, da die PublicWWW-Daten nur Erkennungen für einfache Skriptinjektionen zeigen, Sucuri-Forscher glauben, dass der Umfang der Kampagne „deutlich größer“ ist.
Die Untersuchung wurde von Besitzern von WordPress-Seiten eingeleitet, die sich über unerwünschte Weiterleitungen beschwerten. Es wurde festgestellt, dass diese Umleitungen mit einer neuen Welle dieser zuvor bekannten massiven Operation verbunden sind, und leiteten Website-Besucher über zahlreiche Weiterleitungen um, um ihnen unerwünschte Werbung anzuzeigen.
Laut Sucuris Untersuchung, Alle diese WordPress-Sites litten unter einem gemeinsamen Problem – bösartiges JavaScript, das in die Dateien der Sites und die Datenbank eingeschleust wird, einschließlich legitimer Kern-WP-Dateien, sowie:
./wp-includes/js/jquery/jquery.min.js
./wp-includes/js/jquery/jquery-migrate.min.js
Dies könnte es dem Angreifer ermöglichen, Besucher zu einem beliebigen Online-Ziel umzuleiten. Das Ende der Weiterleitungskette könnte Werbung laden, Phishing-Seiten, oder sogar Malware. Es könnte auch eine weitere Reihe aufdringlicher Weiterleitungen initiieren, sagten die Forscher.
Beispielsweise, Eine solche Seite befindet sich am Ende der Weiterleitungskette, Benutzer dazu verleitet, Push-Benachrichtigungen zu abonnieren. Es handelte sich um ein gefälschtes CAPTCHA. Nach Zustimmung, Benutzer würden mit Anzeigen überflutet. Diese Anzeigen sehen aus, als kämen sie vom Betriebssystem, nicht der Browser, sagten die Forscher.
Dies ist eine großartige Illustration dafür, wie Browserweiterleitungen können sich als bösartig erweisen. Wir schreiben täglich über solche Bedrohungen, die Benutzer dazu auffordern, dem Erhalt von Push-Benachrichtigungen zuzustimmen.
„Zum Zeitpunkt des Schreibens, PublicWWW hat berichtet 322 Websites, die von dieser neuen Welle für den bösartigen Drakefollow betroffen sind[.]com-Domain. In Anbetracht dessen, dass diese Zählung keine verschleierte Malware oder Websites enthält, die noch nicht von PublicWWW gescannt wurden, Die tatsächliche Zahl der betroffenen Websites ist wahrscheinlich viel höher,„Sucuri abgeschlossen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: