Sucuri的網(wǎng)絡安全研究人員發(fā)現(xiàn)了一場大規(guī)模的活動，該活動通過在WordPress網(wǎng)站注入惡意JavaScript代碼將訪問者重定向到詐騙內容，從而導致數(shù)千個WordPress網(wǎng)站遭破壞。感染會自動將站點的訪問者重定向到包含惡意內容，即網(wǎng)絡釣魚頁面、惡意軟件下載、詐騙頁面或商業(yè)網(wǎng)站的第三方網(wǎng)站，以產生非法流量。這些網(wǎng)站都有一個共同的問題——惡意JavaScript被注入到他們網(wǎng)站的文件和數(shù)據(jù)庫中，包括合法的核心WordPress文件，例如：

• ./wp-includes/js/jquery/jquery.min.js
• ./wp-includes/js/jquery/jquery-migrate.min.js “

根據(jù)Sucuri的分析，一旦網(wǎng)站遭到入侵，攻擊者就試圖自動感染名稱中包含jQuery的任何js文件。他們注入了以“/* trackmyposs*/eval(String.fromCharCode…”開頭的代碼…… ”

在某些攻擊中，用戶被重定向到包含CAPTCHA 檢查的登錄頁面。點擊假驗證碼后，即使網(wǎng)站未打開，他們也會被迫接收垃圾廣告，這些廣告看起來像是從操作系統(tǒng)生成的，而不是從瀏覽器生成的。

據(jù)Sucuri稱，至少有322個網(wǎng)站因這波新的攻擊而受到影響，它們將訪問者重定向到惡意網(wǎng)站drakefollow[.]com?！八硎荆骸拔覀兊膱F隊發(fā)現(xiàn)從2022年5月9日開始，這一針對WordPress網(wǎng)站的大規(guī)?；顒邮盏搅舜罅坑脩敉对V，在撰寫本文時該活動已經(jīng)影響了數(shù)百個網(wǎng)站。目前已經(jīng)發(fā)現(xiàn)攻擊者正在針對WordPress插件和主題中的多個漏洞來破壞網(wǎng)站并注入他們的惡意腳本。我們預計，一旦現(xiàn)有域名被列入黑名單，黑客將繼續(xù)為正在進行的活動注冊新域名?！?/p>

對此，Sucuri也表示網(wǎng)站管理員可以使用他們免費的遠程網(wǎng)站掃描儀檢查網(wǎng)站是否已被入侵。

參考來源：https://securityaffairs.co/wordpress/131202/hacking/wordpress-websites-hacking-campaign.html