Une campagne massive a infecté plus de 4 500 sites Web WordPress dans le cadre d’une opération de longue durée qui serait active depuis au moins 2017.
Selon Sucuri, propriété de GoDaddy, les infections impliquent l’injection de JavaScript obscurci hébergé sur un domaine malveillant nommé « track[.]violetlovelines[.]com » qui est conçu pour rediriger les visiteurs vers des sites indésirables.
La dernière opération serait active depuis le 26 décembre 2022, selon les données de urlscan.io. Une vague précédente observée début décembre 2022 a touché plus de 3 600 sites, tandis qu’une autre série d’attaques enregistrées en septembre 2022 a pris au piège plus de 7 000 sites.
Le code malveillant est inséré dans le fichier WordPress index.php, Sucuri notant qu’il a supprimé ces modifications de plus de 33 000 fichiers sur les sites compromis au cours des 60 derniers jours.
« Ces derniers mois, cette campagne de logiciels malveillants est progressivement passée des fausses pages d’escroquerie de notification push CAPTCHA aux « réseaux publicitaires » black hat qui alternent entre des redirections vers des sites Web légitimes, sommaires et purement malveillants », a déclaré Denis Sinegubko, chercheur à Sucuri.
Ainsi, lorsque des utilisateurs sans méfiance atterrissent sur l’un des sites WordPress piratés, une chaîne de redirection est déclenchée au moyen d’un système de direction du trafic, atterrissant les victimes sur des pages diffusant des publicités sommaires sur des produits qui bloquent ironiquement les publicités indésirables.
Plus troublant encore, le site Web d’un tel bloqueur de publicités nommé Crystal Blocker est conçu pour afficher des alertes trompeuses de mise à jour du navigateur afin d’inciter les utilisateurs à installer son extension en fonction du navigateur Web utilisé.
L’extension de navigateur est utilisée par près de 110 000 utilisateurs répartis sur Google Chrome (60 000+), Microsoft Edge (40 000+) et Mozilla Firefox (8 635).
« Et bien que les extensions aient effectivement une fonctionnalité de blocage des publicités, il n’y a aucune garantie qu’elles soient sûres à utiliser – et peuvent contenir des fonctions non divulguées dans la version actuelle ou dans les futures mises à jour », a expliqué Sinegubko.
Certaines des redirections entrent également dans la catégorie carrément néfaste, les sites Web infectés agissant comme un conduit pour lancer des téléchargements en voiture.
Cela inclut également la récupération à partir de Discord CDN d’un malware voleur d’informations connu sous le nom de Raccoon Stealer, qui est capable de piller des données sensibles telles que les mots de passe, les cookies, les données de remplissage automatique des navigateurs et les portefeuilles cryptographiques.
Les découvertes surviennent alors que les acteurs de la menace créent des sites Web similaires pour une variété de logiciels légitimes afin de distribuer des voleurs et des chevaux de Troie via des publicités malveillantes dans les résultats de recherche Google.
Google est depuis intervenu pour bloquer l’un des domaines escrocs impliqués dans le système de redirection, le classant comme un site dangereux qui installe « des logiciels indésirables ou malveillants sur les ordinateurs des visiteurs ».
Pour atténuer ces menaces, il est conseillé aux propriétaires de sites WordPress de changer les mots de passe et de mettre à jour les thèmes et plugins installés, ainsi que de supprimer ceux qui ne sont pas utilisés ou abandonnés par leurs développeurs.