Lebih dari 4.500 Situs WordPress Diretas, Arahkan Pengunjung ke Halaman Iklan yang Samar

Cyberthreat.id – Kampanye besar-besaran telah menginfeksi lebih dari 4.500 situs web WordPress sebagai bagian dari operasi jangka panjang yang diyakini aktif setidaknya sejak 2017.

Menurut Sucuri milik GoDaddy, infeksi tersebut melibatkan injeksi JavaScript yang dikaburkan yang dihosting di domain jahat bernama "track[.]violetlovelines[.]com" yang dirancang untuk mengarahkan pengunjung ke situs yang tidak diinginkan.

Operasi terbaru disebut aktif sejak 26 Desember 2022, menurut data urlscan.io. Gelombang sebelumnya yang terlihat pada awal Desember 2022 memengaruhi lebih dari 3.600 situs, sementara rangkaian serangan lain yang tercatat pada September 2022 menjerat lebih dari 7.000 situs.

Kode nakal dimasukkan ke dalam file WordPress index.php, dengan Sucuri mencatat bahwa itu telah menghapus perubahan tersebut dari lebih dari 33.000 file di situs yang disusupi dalam 60 hari terakhir.

"Dalam beberapa bulan terakhir, kampanye malware ini secara bertahap beralih dari halaman penipuan pemberitahuan push CAPTCHA palsu yang terkenal ke 'jaringan iklan' topi hitam yang berganti-ganti antara pengalihan ke situs web yang sah, samar, dan murni berbahaya," kata peneliti Sucuri Denis Sinegubko, seperti dilansir The Hacker News, Kamis (26/1)

Jadi ketika pengguna yang tidak menaruh curiga mendarat di salah satu situs WordPress yang diretas, rantai pengalihan dipicu melalui sistem pengarahan lalu lintas, mengarahkan korban ke halaman yang menyajikan iklan samar tentang produk yang ironisnya memblokir iklan yang tidak diinginkan.

Yang lebih meresahkan, situs web untuk salah satu pemblokir iklan bernama Crystal Blocker direkayasa untuk menampilkan peringatan pembaruan browser yang menyesatkan untuk mengelabui pengguna agar memasang ekstensinya tergantung pada browser web yang digunakan.

Ekstensi browser digunakan oleh hampir 110.000 pengguna yang mencakup Google Chrome (60.000+), Microsoft Edge (40.000+), dan Mozilla Firefox (8.635).

"Dan meskipun ekstensi memang memiliki fungsi pemblokiran iklan, tidak ada jaminan bahwa ekstensi tersebut aman untuk digunakan — dan mungkin berisi fungsi yang dirahasiakan dalam versi saat ini atau pembaruan di masa mendatang," jelas Sinegubko.

Beberapa pengalihan juga termasuk dalam kategori jahat, dengan situs web yang terinfeksi bertindak sebagai saluran untuk memulai unduhan drive-by.

Ini juga termasuk mengambil dari Discord CDN malware pencuri informasi yang dikenal sebagai Raccoon Stealer, yang mampu menjarah data sensitif seperti kata sandi, cookie, data isi otomatis dari browser, dan dompet crypto.

Temuan ini muncul saat pelaku ancaman menyiapkan situs web serupa untuk berbagai perangkat lunak yang sah untuk mendistribusikan pencuri dan trojan melalui iklan berbahaya di hasil penelusuran Google.

Google sejak itu masuk untuk memblokir salah satu domain jahat yang terlibat dalam skema pengalihan, mengklasifikasikannya sebagai situs tidak aman yang memasang "perangkat lunak yang tidak diinginkan atau berbahaya di komputer pengunjung".

Untuk mengurangi ancaman tersebut, pemilik situs WordPress disarankan untuk mengubah kata sandi dan memperbarui tema dan plugin yang diinstal serta menghapus yang tidak digunakan atau ditinggalkan oleh pengembangnya.