Uma campanha contínua que infiltra websites legítimos com injeções maliciosas de JavaScript para promover plataformas de apostas em língua chinesa expandiu-se para comprometer aproximadamente 150.000 sites até o momento.
"O ator de ameaças renovou levemente sua interface, mas ainda está contando com uma injeção de iframe para exibir um overlay em tela cheia no navegador do visitante", disse o analista de segurança c/side Himanshu Anand em uma nova análise.
Até o momento, há mais de 135.800 sites contendo o payload JavaScript, de acordo com estatísticas do PublicWWW.
Conforme documentado pela companhia de segurança de websites no mês passado, a campanha envolve infectar websites com JavaScript malicioso projetado para sequestrar a janela do navegador do usuário para redirecionar visitantes do site para páginas que promovem plataformas de apostas.
Os redirecionamentos foram identificados ocorrendo através de JavaScript hospedado em cinco diferentes domínios (ex."zuizhongyj[.]com") que, por sua vez, fornecem o payload principal responsável por realizar os redirecionamentos.
A c/side disse que também observou outra variante da campanha que envolve injetar scripts e elementos de iframe em HTML, se passando por websites legítimos de apostas como Bet365, utilizando logos e branding oficiais.
O objetivo final é servir um overlay em tela cheia usando CSS que faz com que a página de destino de apostas maliciosa seja exibida ao visitar um dos sites infectados em vez do conteúdo web real.
"Este ataque demonstra como os atores de ameaças se adaptam constantemente, aumentando seu alcance e usando novas camadas de ofuscação", disse Anand.
Ataques do lado do cliente como estes estão em ascensão, com mais e mais descobertas todos os dias.
A revelação acontece enquanto a GoDaddy detalhou informações de uma operação de malware de longa duração apelidada de DollyWay World Domination que comprometeu mais de 20.000 websites globalmente desde 2016.
Até fevereiro de 2025, mais de 10.000 sites únicos WordPress caíram vítima do esquema.
"A iteração atual [...] visa principalmente os visitantes de sites WordPress infectados através de scripts de redirecionamento injetados que empregam uma rede distribuída de nós do Sistema de Direção de Tráfego (TDS) hospedados em websites comprometidos", disse o pesquisador de segurança Denis Sinegubko.
Esses scripts redirecionam visitantes do site para várias páginas de golpes através de redes de corretores de tráfego associadas ao VexTrio, uma das maiores redes de afiliados cibercriminosos conhecidas que utiliza técnicas DNS sofisticadas, sistemas de distribuição de tráfego e algoritmos de geração de domínio para entregar malware e golpes através de redes globais.
Os ataques começam com a injeção de um script gerado dinamicamente no site WordPress, redirecionando finalmente os visitantes para links do VexTrio ou LosPollos.
A atividade também é dita como tendo utilizado redes de anúncios como PropellerAds para monetizar o tráfego dos sites comprometidos.
As injeções maliciosas no lado do servidor são facilitadas através de código PHP inserido em plugins ativos, ao mesmo tempo que tomam medidas para desativar plugins de segurança, deletar usuários admin maliciosos e desviar credenciais legítimas de admin para alcançar seus objetivos.
A GoDaddy desde então revelou que o TDS DollyWay utiliza uma rede distribuída de sites WordPress comprometidos como nós de TDS e comando-e-controle (C2), alcançando 9-10 milhões de impressões de página mensais.
Além disso, foi descoberto que os URLs de redirecionamento do VexTrio são obtidos da rede de corretores de tráfego LosPollos.
Por volta de novembro de 2024, os operadores da DollyWay disseram ter deletado vários de seus servidores C2/TDS, com o script TDS obtendo os URLs de redirecionamento de um canal no Telegram nomeado trafficredirect.
"A interrupção da relação da DollyWay com o LosPollos marca um ponto de virada significativo nesta campanha de longa duração", observou Sinegubko.
Enquanto os operadores demonstraram uma adaptabilidade notável, rapidamente transitando para métodos alternativos de monetização de tráfego, as mudanças rápidas de infraestrutura e interrupções parciais sugerem algum nível de impacto operacional.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...