Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch lớn chịu trách nhiệm đưa mã JavaScript độc hại vào các trang web WordPress bị xâm nhập nhằm chuyển hướng khách truy cập đến các trang lừa đảo và các trang web độc hại khác để tạo ra lưu lượng truy cập bất hợp pháp.
Krasimir Konov, một nhà phân tích phần mềm độc hại tại Sucuri, cho biết: “Tất cả các trang web đều có chung một vấn đề – JavaScript độc hại đã được đưa vào trong các tệp của trang web và cơ sở dữ liệu, bao gồm các tệp WordPress cốt lõi hợp pháp”.
Điều này liên quan đến việc lây nhiễm các tệp như jquery.min.js và jquery-migrate.min.js với JavaScript bị xáo trộn được kích hoạt trên mỗi lần tải trang, cho phép kẻ tấn công chuyển hướng khách truy cập trang web đến đích mà chúng chọn.
Công ty bảo mật trang web thuộc sở hữu của GoDaddy cho biết rằng các tên miền ở cuối chuỗi chuyển hướng có thể được sử dụng để tải quảng cáo, trang lừa đảo, phần mềm độc hại hoặc thậm chí kích hoạt một loạt chuyển hướng khác.
Trong một số trường hợp, người dùng không nghi ngờ được đưa đến trang đích chuyển hướng giả mạo có chứa kiểm tra CAPTCHA giả mạo, nhấp vào đó phân phát các quảng cáo không mong muốn được ngụy trang để trông như thể chúng đến từ hệ điều hành chứ không phải từ trình duyệt web.
Chiến dịch – sự tiếp nối của một làn sóng khác đã được phát hiện vào tháng trước – được cho là đã ảnh hưởng đến 322 trang web cho đến nay, bắt đầu từ ngày 9 tháng 5. Mặt khác, loạt tấn công tháng 4 đã xâm phạm hơn 6.500 trang web.
“Người ta đã phát hiện ra rằng những kẻ tấn công đang nhắm mục tiêu vào nhiều lỗ hổng trong các plugin và chủ đề của WordPress để xâm nhập trang web và đưa các tập lệnh độc hại của chúng vào”, Konov nói.
.
