Over 4,500 WordPress Sites Hacked to Redirect Visitors to Sketchy Ad Pages
2023/01/25 TheHackerNews — 2017年ころから活動しているとされる、長期的かつ大規模なキャンペーンにより、4,500 件以上の WordPress サイトが感染していることが明らかになった。GoDaddy 系列の Sucuri によると、悪意のドメイン track[.]violetlovelines[.]com にホストされている、難読化された JavaScript の注入により感染が広まり、悪意のサイトへと訪問者たちがリダイレクトされているようだ。urlscan.io のデータによると、2022年12月26日から動きが活発になっているようだ。2022年12月初旬に確認された攻撃では 3,600 件以上のサイトが影響を受け、2022年9月に記録された別の攻撃では、7,000以上のサイトが被害に遭ったとされている。
不正なコードは WordPress の index.php ファイルに挿入されているが、過去 60日間に侵害されたサイト上の 33,000 以上のファイルから、この改ざんは削除されたと、Sucuri は述べている。
Sucuri の研究者である Denis Sinegubko は、「このマルウェア・キャンペーンは、ここ数ヶ月の間に、CAPTCHA プッシュ通知詐欺ページから、悪意の広告ネットワークへと徐々に移行している。そこでは、正規のサイト/雑多なサイト/悪質なサイトへのリダイレクトが繰り返される」と述べている。
無知なユーザーがハッキングされた WordPress サイトの1つにアクセスすると、トラフィック誘導システムによりリダイレクト・チェーンが発生し、不要な広告をブロックする製品について広告する、怪しげなページへと被害者を遷移させる。
さらに厄介なことに、Crystal Blocker という広告ブロッカーの Web サイトは、ユーザーが使用する Web ブラウザに応じた偽のアップデート警告を表示させ、ブラウザのエクステンションをユーザーにインストールさせるように設計されている。
この悪意のエクステンションは、Google Chrome (60,000人以上)/Microsoft Edge (40,000人以上)/Mozilla Firefox (8,635人) などの、約11万人のユーザーにより使用されている。
Sinegubko は、「このエクステンションには、たしかに広告ブロック機能があるが、安全に使用できる保証はない。また、現在のバージョンや将来のアップデートで、非公開の機能が取り込まれる可能性がある」と説明している。
また、悪意のリダイレクトの中には、感染させた Web サイトにドライブ・バイ・ダウンロードを開始させるなどの、完全に悪意のカテゴリに分類されるものもある。
また、Discord CDN から、パスワード/クッキー/ブラウザの自動入力データ/暗号ウォレットなどの機密データを略奪するための、情報窃取マルウェア Raccoon Stealer の取得も含まれる。
今回の発見は、正規ソフトウェアのサイトを模倣した、多様な Web サイトを立ち上げた脅威アクターが、Google の検索結果に悪意の広告を掲載することで、スティーラーやトロイの木馬を配布していることを受けたものだ。
Google は、このリダイレクト・スキームに関与している不正なドメインの1つを、訪問者のコンピュータに不要/悪意のソフトウェアをインストールする、危険なサイトだと判断してブロックに踏み切った。
このような脅威を軽減するために、WordPress サイトの所有者に対しては、パスワードの変更/テーマやプラグインの更新/未使用のソフトウェアの削除/開発者が放棄したソフトウェアの削除などが推奨される。
このところ、WordPress への攻撃が多いですね。今回のケースは、悪意の広告ページへのリダイレクトですが、ユーザーのブラウザに悪意のエクステンションをインストールさせ、さらには Raccoon Stealer に感染させるものもあるようです。以下は、最近の WordPress 関連のインシデントです。
2023/01/13:プラグインの脆弱性と PoC エクスプロイト
2022/01/02:マルウェア:20種類以上のテーマ/プラグインを悪用
2022/12/13:GoTrim ボットネットのブルートフォース攻撃
IoT OT Security News 
You must be logged in to post a comment.