Security Boulevard ha rilevato nell’ultimo anno un’infezione di malware in corso che reindirizza i visitatori del sito web a siti truffa. Finora il monitoraggio ha rilevato oltre 3.000 siti web infettati dall’infezione quest’anno e oltre 17.000 in totale da quando è stata rilevata per la prima volta nel marzo del 2021.
Il comportamento segnalato è sempre lo stesso: dopo pochi secondi di caricamento, il sito web reindirizza a un sito truffa sospetto.
Il malware è sempre iniettato nel file footer.php del tema attivo, e contiene JavaScript offuscato dopo una lunga serie di linee vuote, senza dubbio cercando di rimanere nascosto:
Gli aggressori stanno spesso modificando l’iniezione, ma notiamo sempre gli stessi domini che iniziano il reindirizzamento:
- amads[.]fun
- techmarket[.]ink
- uads[.]negozio
- 5[.]188[.]62[.]157
- uads[.]live
- like-a-dating[.]top
- techmarket[.]ink
Fonte di infezione?
Non sembra esserci un particolare plugin o tema vulnerabile che gli aggressori hanno sfruttato, e abbiamo visto questo apparire su ambienti WordPress completamente aggiornati. Sembra che gli aggressori stiano utilizzando account di amministratore wp-admin compromessi (sia attraverso la forza bruta, la password o credenziali trapelate) e abusando della funzionalità di editor di file integrato per iniettare il malware.
