Muestran alertas engañosas de actualización del navegador para engañar a los usuarios
Una campaña masiva ha infectado más de 4.500 sitios web de WordPress como parte de una operación de larga duración que se cree que está activa desde al menos 2017.
Según Sucuri, propiedad de GoDaddy, las infecciones implican la inyección de JavaScript ofuscado alojado en un dominio malicioso llamado "track[.]violetlovelines[.]com" que está diseñado para redirigir a los visitantes a sitios no deseados.
Se dice que la última operación ha estado en marcha desde el 26 de diciembre de 2022, según datos de urlscan.io. Una ola anterior vista a principios de diciembre de 2022 afectó a más de 3.600 sitios, mientras que otro conjunto de ataques registrados en septiembre de 2022 atrapó a más de 7.000 sitios.
El código malicioso se inserta en el archivo index.php de WordPress, y Sucuri señala que en los últimos 60 días ha eliminado dichos cambios de más de 33.000 archivos en los sitios comprometidos.
"En los últimos meses, esta campaña de malware ha pasado gradualmente de las notorias páginas falsas de estafa de notificaciones push de CAPTCHA a 'redes publicitarias' de sombrero negro que alternan entre redireccionamientos a sitios web legítimos, incompletos y puramente maliciosos", dijo el investigador de Sucuri, Denis Sinegubko.
Por lo tanto, cuando los desprevenidos usuarios llegan a uno de los sitios de WordPress pirateados, se activa una cadena de redirección por medio de un sistema de dirección de tráfico, que lleva a las víctimas a páginas que muestran anuncios incompletos sobre productos que, irónicamente, bloquean los anuncios no deseados.
Aún más preocupante, el sitio web de uno de esos bloqueadores de anuncios llamado Crystal Blocker está diseñado para mostrar alertas engañosas de actualización del navegador para engañar a los usuarios para que instalen su extensión según el navegador web utilizado.
La extensión del navegador es utilizada por casi 110.000 usuarios que abarcan Google Chrome (60.000+), Microsoft Edge (40.000+) y Mozilla Firefox (8.635).
"Y si bien las extensiones tienen una función de bloqueo de anuncios, no hay garantía de que sean seguras de usar, y pueden contener funciones no reveladas en la versión actual o en futuras actualizaciones", explicó Sinegubko.
Algunos de los redireccionamientos también caen en la categoría absolutamente nefasta, en la que los sitios web infectados actúan como un conducto para iniciar descargas ocultas.
Esto también incluye recuperar de Discord CDN un malware de robo de información conocido como Raccoon Stealer, que es capaz de saquear datos confidenciales como contraseñas, cookies, datos de autocompletado de navegadores y billeteras criptográficas.
Los hallazgos se producen cuando los actores de amenazas están configurando sitios web similares para una variedad de software legítimo para distribuir ladrones y troyanos a través de anuncios maliciosos en los resultados de búsqueda de Google.
Desde entonces, Google intervino para bloquear uno de los dominios no autorizados involucrados en el esquema de redirección, clasificándolo como un sitio inseguro que instala "software no deseado o malicioso en las computadoras de los visitantes".
Para mitigar tales amenazas, se recomienda a los propietarios de sitios de WordPress que cambien las contraseñas y actualicen los temas y plugins instalados, así como que eliminen aquellos que sus desarrolladores no utilizan o han abandonado.
