Migliaia di siti WordPress vengono violati per indirizzare gli utenti a pagine fraudolente

I ricercatori di Sucuri hanno scoperto una massiccia campagna in cui gli hacker iniettano codice JavaScript dannoso in siti WordPress compromessi.

Le risorse infettate in questo modo vengono quindi utilizzate per reindirizzare gli utenti a pagine fraudolente e vari siti dannosi. Secondo gli esperti, sono già stati compromessi un totale di oltre 6.600 siti.

Il codice dannoso viene iniettato in vari siti, all’interno dei database e file principali di WordPress compromessi, inclusi ./wp-includes/js/jquery/jquery.min.js e ./wp-includes/js/jquery/jquery-mgrate.min .js. 

In sostanza, gli aggressori stanno cercando di inserire il proprio codice dannoso in qualsiasi file .js con jQuery nel nome. Per evitare il rilevamento e nascondere la propria attività, gli hacker utilizzano CharCode.

In genere, questi reindirizzamenti portano a pagine di phishing, download di malware, banner pubblicitari. Ad esempio, un’iniezione su un sito compromesso crea un nuovo elemento di script con il dominio legendtable[.]com come origine. 

Questo dominio fa riferimento a un secondo dominio esterno – local[.]drakefollow[.]com – che fa riferimento a un altro, creando così una catena attraverso la quale il visitatore passa finché non viene reindirizzato a qualche risorsa dannosa.

Prima di raggiungere la pagina di destinazione finale, alcuni visitatori vengono indirizzati a una pagina CAPTCHA falsa che tenta di indurli a registrarsi per le notifiche push da un sito dannoso.

“Se una persona fa clic su un CAPTCHA falso, riceverà annunci indesiderati anche se il sito non è aperto e sembrerà che gli annunci provengano dal sistema operativo, non dal browser”

affermano gli esperti. 

“Inoltre, queste manovre di notifica push sono legate a una delle più comuni truffe di supporto tecnico. Quando un utente viene informato che il suo computer è infetto da un virus o è troppo lento e, per risolvere il problema, deve chiamare il numero verde”.

I ricercatori affermano che per compromettere inizialmente i siti WordPress, gli aggressori utilizzano numerose vulnerabilità nei plugin e nei temi di WordPress, che vengono scoperti regolarmente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.