Beveiligingsonderzoekers hebben een kwaadaardige campagne tegen WordPress-sites geïdentificeerd. De campagne maakt gebruik van bekende kwetsbaarheden in WordPress-thema's en plugins, en heeft invloed gehad op duizenden websites.
Schadelijke campagne compromitteert WordPress-sites: de details
Volgens gegevens gedeeld door PublicWWW, minstens 6,000 sites zijn alleen al in april besmet. Echter, aangezien de PublicWWW-gegevens alleen detecties voor eenvoudige scriptinjecties tonen, Sucuri-onderzoekers zijn van mening dat de reikwijdte van de campagne "aanzienlijk groter" is.
Het onderzoek is gestart door eigenaren van WordPress-sites die klagen over ongewenste omleidingen. Deze omleidingen bleken verband te houden met een nieuwe golf van deze voorheen bekende massale operatie, en leidden websitebezoekers om via talloze omleidingen om hen ongewenste advertenties te tonen.
Volgens het onderzoek van Sucuri, al deze WordPress-sites hadden een veelvoorkomend probleem – kwaadaardig JavaScript geïnjecteerd in de bestanden van de site en de database, inclusief legitieme kern WP-bestanden, zoals:
./wp-includes/js/jquery/jquery.min.js
./wp-includes/js/jquery/jquery-migrate.min.js
Hierdoor kan de aanvaller bezoekers omleiden naar elke online bestemming. Het einde van de omleidingsketen kan advertenties laden, phishing-pagina's, of zelfs malware. Het kan ook een andere reeks opdringerige omleidingen initiëren, aldus de onderzoekers.
Bijvoorbeeld, een dergelijke pagina gevonden aan het einde van de omleidingsketen, gebruikers misleid om zich te abonneren op pushmeldingen. Het ging om een valse CAPTCHA. bij akkoord, gebruikers zouden overspoeld worden met advertenties. Deze advertenties zien eruit alsof ze afkomstig zijn van het besturingssysteem, niet de browser, aldus de onderzoekers.
Dit is een geweldige illustratie van hoe browser doorverwijzingen kunnen kwaadaardig blijken te zijn. We schrijven dagelijks over dergelijke bedreigingen die gebruikers ertoe aanzetten om pushmeldingen te ontvangen.
“Op het moment van schrijven, OpenbaarWWW heeft gemeld 322 websites die getroffen zijn door deze nieuwe golf voor de kwaadaardige drakefollow[.]com domein. Aangezien deze telling geen verduisterde malware of sites omvat die nog niet zijn gescand door PublicWWW, het werkelijke aantal getroffen websites is waarschijnlijk veel hoger,” Sucuri gesloten.