Cybersecurity-Forscher haben eine massive Kampagne aufgedeckt, die dafür verantwortlich ist, bösartigen JavaScript-Code in kompromittierte WordPress-Websites einzuschleusen, der die Besucher auf Betrugsseiten und andere bösartige Websites umleitet, um illegalen Traffic zu generieren.
„Die Websites hatten alle ein gemeinsames Problem – bösartiger JavaScript-Code wurde in die Dateien der Website und der Datenbank eingeschleust, einschließlich der legitimen WordPress-Kerndateien“, so Krasimir Konov, Malware-Analyst bei Sucuri, in einem am Mittwoch veröffentlichten Bericht.
Dabei wurden Dateien wie jquery.min.js und jquery-migrate.min.js mit verschleiertem JavaScript infiziert, das bei jedem Seitenaufruf aktiviert wird und es dem Angreifer ermöglicht, die Besucher der Website an ein Ziel seiner Wahl umzuleiten.
Das zu GoDaddy gehörende Unternehmen für Webseitensicherheit erklärte, dass die Domains am Ende der Weiterleitungskette dazu genutzt werden können, Werbung, Phishing-Seiten oder Malware zu laden oder sogar eine weitere Reihe von Weiterleitungen auszulösen.
In einigen Fällen werden ahnungslose Nutzer/innen auf eine betrügerische Weiterleitungsseite mit einer gefälschten CAPTCHA-Prüfung weitergeleitet, auf der unerwünschte Werbung angezeigt wird, die so getarnt ist, als käme sie vom Betriebssystem und nicht von einem Webbrowser.
Die Kampagne – eine Fortsetzung einer anderen Welle, die letzten Monat entdeckt wurde – soll seit dem 9. Mai bisher 322 Websites betroffen haben. Bei der Angriffswelle im April hingegen wurden über 6.500 Websites angegriffen.
„Es wurde festgestellt, dass die Angreifer mehrere Schwachstellen in WordPress-Plugins und Themes ausnutzen, um die Website zu kompromittieren und ihre bösartigen Skripte einzuschleusen“, so Konov.